«Доктор Веб» обнаружил троянцев в прошивках популярных мобильных Android-устройств

12.12.2016Пресс-релизы/Партнёрский материал

Вирусные аналитики компании «Доктор Веб» выявили новых троянцев, которых злоумышленники внедрили в прошивки десятков моделей мобильных устройств под управлением ОС Android. Обнаруженные вредоносные приложения располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.

Один из этих троянцев, который получил имя Android.DownLoader.473.origin, находится в прошивках множества моделей популярных Android-устройств, работающих на аппаратной платформе MTK. На момент публикации этого материала он был найден на 26 моделях смартфонов, среди которых:

MegaFon Login 4 LTE

Irbis TZ85

Irbis TX97

Irbis TZ43

Bravis NB85

Bravis NB105

SUPRA M72KG

SUPRA M729G

SUPRA V2N10

Pixus Touch 7.85 3G

Itell K3300

General Satellite GS700

Digma Plane 9.7 3G

Nomi C07000

Prestigio MultiPad Wize 3021 3G

Prestigio MultiPad PMT5001 3G

Optima 10.1 3G TT1040MG

Marshal ME-711

7 MID

Explay Imperium 8

Perfeo 9032_3G

Ritmix RMD-1121

Oysters T72HM 3G

Irbis tz70

Irbis tz56

Jeka JK103

Однако количество моделей Android-устройств, инфицированных этим троянцем, может оказаться гораздо больше.

Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Вредоносная программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает.

Фактически по команде злоумышленников троянец способен скачивать на зараженные устройства любое ПО. Это могут быть как безобидные, так и нежелательные или даже вредоносные программы. Например, Android.DownLoader.473.origin активно распространяет рекламное приложение H5GameCenter, которое было добавлено в вирусную базу Dr.Web как Adware.AdBox.1.origin. После установки оно показывает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который Adware.AdBox.1.origin открывает встроенный в нее каталог ПО. Кроме того, эта нежелательная программа показывает рекламные баннеры.

На различных форумах владельцы Android-устройств отмечают, что вскоре после удаления приложение H5GameCenter устанавливается в систему вновь, и значок коробки опять отображается поверх всех программ. Это происходит потому, что Android.DownLoader.473.origin повторно скачивает и устанавливает Adware.AdBox.1.origin, если программа удаляется с устройства.

Другой троянец, обнаруженный в прошивках ряда Android-устройств, получил имя Android.Sprovider.7. Он был найден на смартфонах Lenovo A319 и Lenovo A6000. Эта вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android.

Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли этот вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin обладает широким набором функций. Например, он может:

скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя;
запустить установленное приложение;
открыть в браузере заданную злоумышленниками ссылку;
позвонить по определенному номеру с помощью стандартного системного приложения;
запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер;
показать рекламу поверх всех приложений;
показать рекламу в панели уведомлений;
создать ярлык на домашнем экране;
обновить основной вредоносный модуль.

Как известно, за накрутку установок приложений, искусственное повышение их рейтингов, а также за распространение рекламного ПО интернет-жулики получают прибыль. Поэтому вероятнее всего вредоносные программы Android.DownLoader.473.origin и Android.Sprovider.7 попали в прошивки мобильных устройств по вине недобросовестных субподрядчиков, которые участвовали в создании образов ОС и решили заработать за счет пользователей.

Компания «Доктор Веб» уведомила производителей зараженных смартфонов о возникшей проблеме. Владельцам таких устройств рекомендуется обратиться в службу поддержки производителей смартфонов и планшетов, чтобы получить обновление исправленного системного ПО, как только оно будет готово.

Антивирусные продукты Dr.Web для Android успешно обнаруживают все известные версии троянцев Android.DownLoader.473.origin и Android.Sprovider.7, поэтому наши пользователи могут проверить, заражена ли их прошивка.

👍 / 👎

Тогда можно поддержать её лайком в соцсетях. На новости сайта вы ведь уже подписались? ;)

Или хотя бы оставить довольный комментарий, чтобы мы знали, какие темы наиболее интересны читателям. Кроме того, нас это вдохновляет. Форма комментариев ниже.

Что с ней так? Своё негодование вы можете высказать на zelebb@gmail.com или в комментариях. Мы постараемся учесть ваше пожелание в будущем, чтобы улучшить качество материалов сайта. А сейчас проведём воспитательную работу с автором.

Если вам интересны новости мира ИТ так же сильно, как нам, подписывайтесь на Telegram-канал. Там все материалы появляются максимально оперативно. Или, может быть, удобнее "Вконтакте"?

Новости СМИ2

Автор: Доктор Веб

Поговорить?

Уже наговорили:

Александра:
Одолел android.downloader.677 Доктор веб стоит на смарте, лицензия куплена! Вирус по 20 раз на дню удаляется, снова и снова. Понять не могу, откуда лезит!!! У меня уже глаз дергается, но если его не удалять, он еще кучу вирусов устанавливает. За день до 8 штук. Доктор Веб их все ловит, и ловит, и ловит... до бесконечности. 4 вируса вшиты в прошивку - не удаляются. После сброса настроек до заводских проблема на время пропадает, но через две три недели песня начинается вновь... PS: До установки Д.Веб вирусы проявляли себя частым открытием браузера с рекламной вкладкой, внезапной музыкой и включением режима не беспокоить со снижением громкости до 0... Теперь просто бесконечные щелчки. P.S.S. Считаю, что нужно наказывать рекламодателей! Вот чья реклама вылезла - тот и папа... Будут внимательнее относиться кому доверять распространение... И наказывать нужно приличными суммами, чтоб по кошельку било чувствительно. Вплоть до банкротства для особо настырных. P.S.S.S. Это уже не реклама, а настоящая антиреклама и издевательство какое-то!!! В жизни не воспользуюсь таким настырным предложением. Более того, у меня лично формируется крайне негативные ассоциации к данному рекламодателю с пожеланиями скорейшей кончины :(

Читайте нас где удобно

Ещё на эту тему было

Для тех, кто долистал

Ай-ти шуточка бонусом. Android - это свобода. Свобода продать Android и купить iPhone.