Эксперты компании “Доктор Веб” обнаружили несколько образцов вредоносного ПО в прошивках десятков моделей Android-устройств. Трояны сохраняются в системных каталогах и устанавливают сторонние приложения без ведома пользователя.
В частности исследователи обнаружили Android.DownLoader.473.origin (по классификации компании “Доктор Веб”) в 26 прошивках популярных смартфонов, работающих на базе аппаратной платформы MTK. Однако, по словам экспертов, количество зараженных моделей может быть гораздо больше.
Вредоносное ПО представляет собой загрузчик, активизирующийся при каждом включении устройства. Android.DownLoader.473.origin мониторит активность модуля Wi-Fi и, обнаружив сетевое подключение, подключается к C&C-серверу. От него троян получает конфигурационный файл с информацией о приложении, которое ему нужно загрузить и установить. Если пользователь удалит установленную трояном программу, Android.DownLoader.473.origin инсталлирует ее повторно.
На смартфонах Lenovo A319 и Lenovo A6000 исследователи обнаружили вредоносное ПО Android.Sprovider.7 (по классификации компании “Доктор Веб”). Троян встроен в приложение Rambla, предоставляющее доступ к одноименному каталогу ПО для Android. Помимо прочего, вредонос может загружать apk-файл и пытаться установить его стандартным способом с запросом разрешения у пользователя, запускать установленное приложение, открывать в браузере указанную преступниками ссылку, звонить по определенному номеру, отображать рекламу и т.д.
Александр Горячёв, аналитик “Доктор Веб”: Троян предустановливается на устройства вместе с другим ПО и находится непосредственно в прошивке. Из этого можно сделать вывод, что он попадает в систему на этапе ее сборки. Кто его туда помещает – другой вопрос. Это может быть как недобросовестная компания, которая по контракту занимается подготовкой ПО, так и отдельные злоумышленники – сотрудники этих компаний, либо вирусописатели со стороны, которые получили доступ к ресурсам разработчиков и скрытно внедрили троянца в создаваемый образ ОС.
Маловероятно, что производители бюджетных моделей устройств находятся в сговоре с вирусописателями. Известны случаи, когда поставщики смартфонов договаривались со злоумышленниками и перепрошивали устройства с использованием зараженной ОС Android, в которую внедряли троянца. Но такие манипуляции присущи, скорее, непосредственно китайскому рынку. Что касается ответственности, то производители, как и пользователи, здесь также являются жертвами недобросовестных партнеров или киберпреступников. (Dr.Web/NovostIT)