Поиск
Дополнительное меню

Новости ИТ-бизнеса для Профессионалов

25 июля : вторник

Курсы

USD ЦБ РФ 27/06 59.0014 -1.1468
EUR ЦБ РФ 27/06 66.0816 -1.0679
EUR/USD 27/06 1.1200 +0.0036

"Доктор Веб" обнаружил троянцев в прошивках мобильных Android-устройств

12.12.2016 12:40

Эксперты компании «Доктор Веб» выявили новых троянцев, которых злоумышленники внедрили в прошивки десятков моделей мобильных Android устройств. Обнаруженные вредоносы располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.

Android.DownLoader.473.origin, например, находится в прошивках 26 Android-смартфонов, работающих на аппаратной платформе MTK, в том числе в MegaFon Login 4 LTE, в нескольких моделях Irbis, Bravis, Supra, Prestigio, Ritmix и Oysters. Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Вредоносная программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает. Фактически по команде злоумышленников троянец способен скачивать на зараженные устройства любое ПО: как безобидные, так и нежелательные или даже вредоносные программы.

Другой троянец, обнаруженный в прошивках ряда Android-устройств, получил имя Android.Sprovider.7. Он был найден на смартфонах Lenovo A319 и Lenovo A6000. Эта вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android. Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли этот вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin может открыть в браузере заданную злоумышленниками ссылку, позвонить по определенному номеру с помощью стандартного системного приложения, показать рекламу поверх всех приложений, обновить основной вредоносный модуль.

Владельцам зараженных смартфонов рекомендуется обратиться в службу поддержки производителей смартфонов и планшетов, чтобы получить обновление исправленного системного ПО.

Источник: @Astera

Смотри также: Безопасность

12 декабря