Встроенный в Android-прошивку троянец «хозяйничает» на мобильных устройствах
«Доктор Веб» обнаружил новое троянское приложение, интегрированное в образ системы Android для ряда мобильных устройств. Вирус, получивший название Android.Becu.1.origin, способен загружать, удалять и инсталлировать новые приложения без ведома пользователей. Также имеет возможность незаметно блокировать входящие сообщения, присланные с определенных номеров.
Вредоносная утилита состоит из нескольких модулей, тесно интегрированных между собой. Основной компонент угрозы представляет собой стандартный apk-файл Cube_CJIA01.apk, загруженный в системный каталог. Файл имеет электронную подпись операционной системы, что позволяет получить максимальные привилегии в системе. Расположение непосредственно в операционной системе сильно затрудняет его удаление штатными инструментами.
Утилита начинает вредоносную деятельность после каждого включения инфицированного устройства, а также после загрузки нового SMS. После возникновения одного из данных событий, утилита загружает с внешнего сервера блок данных в зашифрованном виде. После расшифровки данные сохраняются в каталоге троянской программы как файл uac.apk, который автоматически запускается в ОЗУ. Далее вирус активирует второй модуль uac.dex, который расположен в том же каталоге. Оба модуля отвечают за обеспечение основного вредоносного функционала.
После активации вышеперечисленных модулей троянская утилита проверяет наличие третьего вредоносного модуля, который находится в файле com.zgs.ga.pack (если его нет, вирус скачивает его с сервера). Данный компонент осуществляет регистрацию атакованного устройства на сервере злоумышленников. Если пользователь удаляет компоненты троянского приложения, главный файл вредоносной программы восстанавливает их.
Специалисты уже знают о наличии данного вируса в серии популярных бюджетных Android устройств. Среди них - ALPS H9500, Star N8000, M900, X3s, World Phone 4, H9001, UBTEL U8 и другие.
Поскольку троянская программа находится внутри операционной системы, удалить его довольно сложно. Наиболее безопасным способом борьбы с вирусом является его блокировка через меню управления программами. Для этого требуется найти пакет com.cube.activity в списке приложений и нажать «Отключить».