Существует миф, что спецслужбы могут отслеживать местоположение даже выключенного мобильника. Новый троян под Android 5+ в каком-то смысле реализует эту концепцию.
Специалисты из антивирусной компании AVG рассказывают о зловреде, который продолжает работать даже когда телефон кажется выключенным. Получив рутовые права в системе, он перехватывает вызов на выключение аппарата, затем показывает фирменную анимацию выключения телефона и гасит экран. Пользователь думает, что телефон выключен, но на самом деле он работает: троян может осуществлять исходящие вызовы, делать фотографии и осуществлять другие поставленные задачи.
Под Android при нажатии кнопки Power активируется функция interceptKeyBeforeQueueing, которая вызывает соответствующий процесс.
Когда кнопка отпущена, активируется intereceptPowerKeyUp.
На экране возникает диалог, предоставляя выбор из нескольких действий.
Если выбрать опцию выключения аппарата, вызывается mWindowManagerFuncs.shutdown.
И вот здесь после обращения к функции ShutDownThread.shutdown непосредственно инициируется процедура отключения питания на физическом уровне.
Вредоносная программа запускает процесс в фоновом режиме и перехватывает вызовы к mWindowManagerFuncs. Таким образом, когда пользователь выбирает опцию отключения энергии, вместо системного процесса запускается анимация, после чего экран отключается, но аппарат продолжает работу.
Троян обнаружили в китайских магазинах приложений и к настоящему моменту заразил около 10 000 устройств.
