Производители Android-устройств выпускают смартфоны с троянами

Специалисты компании «Доктор Веб» обнаружили троян, встроенный непосредственно в образ операционной системы целого ряда Android-смартфонов. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров SMS.

Данная вредоносная программа представляет собой комплексную угрозу, состоящую из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом является файл Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия. Кроме того, расположение этого приложения непосредственно в прошивке значительно затрудняет его удаление стандартными методами.

Троянец начинает свою вредоносную деятельность при каждом включении смартфона, а также при получении его владельцем новых SMS. Как только наступает одно из этих событий, Android.Becu.1.origin в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге троянца и запускается в оперативной памяти при помощи класса DexClassLoader.

Вслед за этим троянец запускает свой второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал данной Android-угрозы, а именно – возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера.

После успешной активации данных компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin.

Если один или несколько модулей троянца будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс инсталляции. Помимо выполнения своего основного предназначения – незаметной работы с приложениями - троянец также может блокировать все поступающие с определенных номеров SMS-сообщения.

На данный момент специалистам известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них - UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятным вектором заражения этих устройств троянцем Android.Becu.1.origin является распространение модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов ОС недобросовестными поставщиками смартфонов и планшетов.

Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами весьма проблематично, поэтому наиболее простым и безопасным способом борьбы с троянцем является его "заморозка" в меню управления приложениями.