В прошивке многих Android-устройств обнаружен рекламный троян

В прошивке многих Android-устройств обнаружен рекламный троян

В марте текущего года специалисты «Доктор Веб» обнаружили рекламный троян в прошивках около сорока Android-устройств. Также эксперты нашли вредонос в программах от известных организаций.

Вредоносное программное обеспечение, названное Android.Gmobi.1, является специализированым программным пакетом (SDK-платформой), расширяющим функциональные возможности Android-приложений. SDK используют производители мобильных устройств и разработчики программного обеспечения.

Данное ПО предназначено для дистанционного обновления ОС, сбора аналитических данных, показа обновлений и осуществления мобильных платежей. Во многом специализированный программный пакет похож на настоящий троян, поэтому антивирус Dr.Web для Android детектирует программы, содержащие данный модуль. На данный момент разработчик антивирусных приложений обнаружил троян в продуктах TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также сообщил о находке пострадавшим компаниям. В обновленных версиях программ данных организаций вредонос не содержится.

Вредоносное ПО имеет несколько модификаций. Встроенные в программы TrendMicro версии SDK содержат исключительно шпионскую функцию, а модификация, находящаяся в прошивках мобильных устройств, при подключении к сети или включении экрана собирает и отправляет на управляющий сервер ряд конфиденциальных данных. В ответ вредонос получает конфигурационный файл формата JSON с некоторыми управляющими командами (создать рекламный ярлык, показать уведомления с рекламой). Дальше ПО отображает объявления в панели уведомлений или в диалоговом окне. Троян может запускать установленные приложения, а также скачивать новые программы по указанными злоумышленниками ссылкам.

Вредонос успешно обнаруживается и обезвреживается, только если не находится в системных каталогах ОС. Для удаления трояна из прошивки необходимо наличие прав суперпользователя. Однако, если Android.Gmobi.1 был встроен в критически важное системное приложение, его удаление может привести к нарушению работы зараженного устройства.

Источник: securitylab.ru