Различная bloatware может нести как потенциальную, так и совершенно реальную угрозу пользователям.Но до тех пор, пока недобросовестные субподрядчики, участвующие в создании образов ОС, будут иметь возможность зарабатывать деньги на накрутке установок приложений, искусственном повышении их рейтингов, а также на распространении рекламного ПО, в прошивках самых разных устройств будут продолжать находить всевозможных вредоносов.

Специалисты компании «Доктор Веб» обнаружили несколько троянов в прошивках десятков моделей мобильных устройств, работающих под управлением ОС Android. В основном найденная малварь располагается в системных каталогах и незаметно для пользователей загружает и устанавливает на устройство дополнительные программы.

Один из обнаруженных троянов получил идентификатор Android.DownLoader.473.origin. Он был найден в прошивках множества популярных Android-девайсов, работающих на аппаратной платформе MTK. На момент публикации троян был замечен на 26 моделях смартфонов, среди которых:

  • MegaFon Login 4 LTE
  • Irbis TZ85
  • Irbis TX97
  • Irbis TZ43
  • Bravis NB85
  • Bravis NB105
  • SUPRA M72KG
  • SUPRA M729G
  • SUPRA V2N10
  • Pixus Touch 7.85 3G
  • Itell K3300
  • General Satellite GS700
  • Digma Plane 9.7 3G
  • Nomi C07000
  • Prestigio MultiPad Wize 3021 3G
  • Prestigio MultiPad PMT5001 3G
  • Optima 10.1 3G TT1040MG
  • Marshal ME-711
  • 7 MID
  • Explay Imperium 8
  • Perfeo 9032_3G
  • Ritmix RMD-1121
  • Oysters T72HM 3G
  • Irbis tz70
  • Irbis tz56
  • Jeka JK103

Исследователи предупреждают, что, скорее всего, зараженных моделей насчитывается гораздо больше.

Android.DownLoader.473.origin – это обычный троян-загрузчик, который запускается при каждом включении устройства. Он отслеживает активность Wi-Fi-модуля и обнаружив сетевое подключение, соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В файле содержится информация о приложении, которое малварь должна скачать. После загрузки указанной программы троян незаметно ее устанавливает.

Специалисты «Доктор Веб» пишут, что вредонос способен скачивать на зараженные устройства любое ПО. Это могут быть как безобидные, так и нежелательные или даже вредоносные приложения. К примеру, таким способом активно распространяется рекламное приложение H5GameCenter, которое проходит в вирусной базе Dr.Web под названием Adware.AdBox.1.origin. После установки это приложение отображает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который открывается встроенный в приложение каталог ПО. Кроме того, эта нежелательная программа показывает рекламные баннеры.

Согласно жалобам пользователей на различных форумах, попытки удаления H5GameCenter ни к чему не приводят, вскоре приложение устанавливается снова, и раздражающая коробка возвращается на место. Дело в том, что Android.DownLoader.473.origin следит за состоянием H5GameCenter, и если приложение удаляют, троян устанавливает его вновь.

Еще один троян, найденный исследователями, получил идентификатор Android.Sprovider.7, и был обнаружен на смартфонах Lenovo A319 и Lenovo A6000. Малварь встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО. Основная функциональность трояна сосредоточена в отдельном программном модуле Android.Sprovider.12.origin, который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, вредонос проверяет, работает ли данный вспомогательный компонент. Если он неактивен, троян извлекает его из своих ресурсов и запускает заново.

Модуль Android.Sprovider.12.origin обладает широким набором функций. Например, он может:

  • скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя;
  • запустить установленное приложение;
  • открыть в браузере заданную злоумышленниками ссылку;
  • позвонить по определенному номеру с помощью стандартного системного приложения;
  • запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер;
  • показать рекламу поверх всех приложений;
  • показать рекламу в панели уведомлений;
  • создать ярлык на домашнем экране;
  • обновить основной вредоносный модуль.

Специалисты «Доктор Веб» уже уведомили производителей зараженных устройств о возникшей проблеме. Владельцам таких девайсов рекомендуют обратиться в службу поддержки производителя, чтобы получить обновленную версию системного ПО, как только исправление будет готово.

7 комментариев

  1. baragoz

    13.12.2016 at 14:16

    У меня в китайской Onda два трояна было. Один без рута не удалялся. Нормально так…

  2. r00tag3nt

    14.12.2016 at 14:19

    Ulefone Metal троян был до обновы

Оставить мнение