Эксперты компании «Доктор Веб» выявили новых троянцев, которых злоумышленники внедрили в прошивки десятков моделей мобильных Android устройств. Обнаруженные вредоносы располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.
Android.DownLoader.473.origin, например, находится в прошивках 26 Android-смартфонов, работающих на аппаратной платформе MTK, в том числе в MegaFon Login 4 LTE, в нескольких моделях Irbis, Bravis, Supra, Prestigio, Ritmix и Oysters. Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Вредоносная программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает. Фактически по команде злоумышленников троянец способен скачивать на зараженные устройства любое ПО: как безобидные, так и нежелательные или даже вредоносные программы.
Другой троянец, обнаруженный в прошивках ряда Android-устройств, получил имя Android.Sprovider.7. Он был найден на смартфонах Lenovo A319 и Lenovo A6000. Эта вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android. Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли этот вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin может открыть в браузере заданную злоумышленниками ссылку, позвонить по определенному номеру с помощью стандартного системного приложения, показать рекламу поверх всех приложений, обновить основной вредоносный модуль.
Владельцам зараженных смартфонов рекомендуется обратиться в службу поддержки производителей смартфонов и планшетов, чтобы получить обновление исправленного системного ПО.