Троянец-дозвонщик для Android не позволяет себя удалить

Троянец-дозвонщик для Android не позволяет себя удалить

Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает серьезным механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно.

Подобные угрозы были широко распространены в эпоху медленного интернет-соединения по технологии dial-up, когда связь осуществлялась с использованием модемов, а позднее нередко атаковали и мобильные устройства. Основная задача таких вредоносных программ – установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников. В настоящее время подобные программы встречаются не так часто, однако все еще используются мошенниками для получения незаконного заработка.

Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin, представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась. В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя.

Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках троянца. Однако при необходимости киберпреступники могут изменить целевой номер дозвона, отдав вредоносному приложению соответствующую команду с управляющего сервера, – это увеличивает функциональную гибкость Android.Dialer.7.origin и позволяет его авторам заработать сразу на нескольких платных сервисах.

Однако главной особенностью этого дозвонщика является его способность противостоять попыткам пострадавшего пользователя удалить угрозу с зараженного мобильного устройства: как только жертва откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.

Антивирусные продукты компании «Доктор Веб» детектируют и успешно удаляют данного троянца с защищаемых ими мобильных устройств, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Lightнадежно защищены от этой угрозы. Если вы испытываете затруднения при удалении Android.Dialer.7.origin, воспользуйтесь встроенной в антивирус функцией аварийной разблокировки устройства, после чего повторите процедуру сканирования и лечения.

Мошенники заманивают россиян улучшенным Telegram и блокируют iPhone

Мошенники нашли еще один способ заработать на любителях улучшенных версий Telegram. На этот раз жертвам предлагают установить неофициальный клиент мессенджера, после чего блокируют iPhone и требуют деньги за его разблокировку.

Об этом «Газете.Ru» рассказал старший преподаватель кафедры КБ-14 «Цифровые технологии обработки данных» Института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец.

По словам эксперта, пользователи Telegram начали замечать в своих аккаунтах предупреждение о том, что они используют неофициальный клиент. Такой баннер появился на фоне распространения сторонних сборок мессенджера, которые могут содержать вредоносный код, шпионские модули или инструменты для сбора пользовательских данных.

Особую опасность представляют приложения с названиями вроде DarkGram, HoloGram, ToxicGram и другими. Пользователю обещают дополнительные функции и стабильную работу, а отсутствие программы в App Store объясняют просто: нужно лишь войти под служебным или временным Apple ID.

Именно здесь и кроется ловушка. Жертве передают логин и пароль от чужой учётной записи Apple. После аутентификации устройство практически сразу блокируется, а на экране появляется сообщение с контактами злоумышленников и требованием заплатить за разблокировку.

Фактически пользователь сам передаёт мошенникам контроль над своим iPhone. Эксперт напоминает, что устанавливать приложения стоит только из официальных магазинов: App Store, Google Play или RuStore. Если программу предлагают скачать по ссылке из мессенджера, чата или стороннего сайта, риск столкнуться с мошенничеством резко возрастает.

Кроме того, стоит обратить внимание на предупреждения самого Telegram. Если в профиле появился баннер о том, что используется неофициальный клиент, это серьёзный повод проверить, какую именно версию приложения вы установили.

RSS: Новости на портале Anti-Malware.ru