Имеющий несколько модификаций вредонос найден в прошивках Android-устройств и программах от известных компаний.
В марте текущего года специалисты «Доктор Веб» обнаружили рекламный троян в прошивках около сорока Android-устройств. Также эксперты нашли вредонос в программах от известных организаций.
Вредоносное программное обеспечение, названное Android.Gmobi.1, является специализированым программным пакетом (SDK-платформой), расширяющим функциональные возможности Android-приложений. SDK используют производители мобильных устройств и разработчики программного обеспечения.
Данное ПО предназначено для дистанционного обновления ОС, сбора аналитических данных, показа обновлений и осуществления мобильных платежей. Во многом специализированный программный пакет похож на настоящий троян, поэтому антивирус Dr.Web для Android детектирует программы, содержащие данный модуль. На данный момент разработчик антивирусных приложений обнаружил троян в продуктах TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также сообщил о находке пострадавшим компаниям. В обновленных версиях программ данных организаций вредонос не содержится.
Вредоносное ПО имеет несколько модификаций. Встроенные в программы TrendMicro версии SDK содержат исключительно шпионскую функцию, а модификация, находящаяся в прошивках мобильных устройств, при подключении к сети или включении экрана собирает и отправляет на управляющий сервер ряд конфиденциальных данных. В ответ вредонос получает конфигурационный файл формата JSON с некоторыми управляющими командами (создать рекламный ярлык, показать уведомления с рекламой). Дальше ПО отображает объявления в панели уведомлений или в диалоговом окне. Троян может запускать установленные приложения, а также скачивать новые программы по указанными злоумышленниками ссылкам.
Вредонос успешно обнаруживается и обезвреживается, только если не находится в системных каталогах ОС. Для удаления трояна из прошивки необходимо наличие прав суперпользователя. Однако, если Android.Gmobi.1 был встроен в критически важное системное приложение, его удаление может привести к нарушению работы зараженного устройства.
Собираем и анализируем опыт профессионалов ИБ