Доктор Веб обнаружил троянцев в прошивках мобильных Android-устройств

Доктор Веб обнаружил троянцев в прошивках мобильных Android-устройств

Доктор Веб обнаружил троянцев в прошивках мобильных Android-устройств

Вирусные аналитики компании «Доктор Веб» выявили новых троянцев, которых злоумышленники внедрили в прошивки десятков моделей мобильных устройств под управлением ОС Android. Обнаруженные вредоносные приложения располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.

Один из этих троянцев, который получил имя Android.DownLoader.473.origin, находится в прошивках множества моделей популярных Android-устройств, работающих на аппаратной платформе MTK. На момент публикации этого материала он был найден на 26 моделях смартфонов, среди которых:

  • MegaFon Login 4 LTE
  • Irbis TZ85
  • Irbis TX97
  • Irbis TZ43
  • Bravis NB85
  • Bravis NB105
  • SUPRA M72KG
  • SUPRA M729G
  • SUPRA V2N10
  • Pixus Touch 7.85 3G
  • Itell K3300
  • General Satellite GS700
  • Digma Plane 9.7 3G
  • Nomi C07000
  • Prestigio MultiPad Wize 3021 3G
  • Prestigio MultiPad PMT5001 3G
  • Optima 10.1 3G TT1040MG
  • Marshal ME-711
  • 7 MID
  • Explay Imperium 8
  • Perfeo 9032_3G
  • Ritmix RMD-1121
  • Oysters T72HM 3G
  • Irbis tz70
  • Irbis tz56
  • Jeka JK103

Однако количество моделей Android-устройств, инфицированных этим троянцем, может оказаться гораздо больше.

Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Вредоносная программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает, пишет news.drweb.ru.

Фактически по команде злоумышленников троянец способен скачивать на зараженные устройства любое ПО. Это могут быть как безобидные, так и нежелательные или даже вредоносные программы. Например, Android.DownLoader.473.origin активно распространяет рекламное приложение H5GameCenter, которое было добавлено в вирусную базу Dr.Web как Adware.AdBox.1.origin. После установки оно показывает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который Adware.AdBox.1.origin открывает встроенный в нее каталог ПО. Кроме того, эта нежелательная программа показывает рекламные баннеры.

 

 

На различных форумах владельцы Android-устройств отмечают, что вскоре после удаления приложение H5GameCenter устанавливается в систему вновь, и значок коробки опять отображается поверх всех программ. Это происходит потому, что Android.DownLoader.473.origin повторно скачивает и устанавливает Adware.AdBox.1.origin, если программа удаляется с устройства.

Другой троянец, обнаруженный в прошивках ряда Android-устройств, получил имя Android.Sprovider.7. Он был найден на смартфонах Lenovo A319 и Lenovo A6000. Эта вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android.

Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли этот вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin обладает широким набором функций. Например, он может:

  • скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя;
  • запустить установленное приложение;
  • открыть в браузере заданную злоумышленниками ссылку;
  • позвонить по определенному номеру с помощью стандартного системного приложения;
  • запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер;
  • показать рекламу поверх всех приложений;
  • показать рекламу в панели уведомлений;
  • создать ярлык на домашнем экране;
  • обновить основной вредоносный модуль.

Как известно, за накрутку установок приложений, искусственное повышение их рейтингов, а также за распространение рекламного ПО интернет-жулики получают прибыль. Поэтому вероятнее всего вредоносные программы Android.DownLoader.473.origin и Android.Sprovider.7 попали в прошивки мобильных устройств по вине недобросовестных субподрядчиков, которые участвовали в создании образов ОС и решили заработать за счет пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Telegram может появиться верификация возраста на основе ИИ

На тестовом сервере Telegram обнаружено мини-приложение, которое при попытке просмотра контента 18+ предлагает подтвердить возраст, показав лицо с помощью камеры, встроенной в телефон или подключенной к компьютеру.

При этом юзера уверяют, что данные одноразовой идентификации (селфи) мессенджер не хранит. Планы по вводу возрастных ограничений на основе биометрии IM-сервис пока не озвучивал.

Ознакомившись с механизмом, специалисты заключили, что для выявления возраста по лицу тестовый софт использует ИИ-инструменты, способные по лицу в разных ракурсах определить пол, примерный возраст и эмоции.

Похоже, что это собственная разработка Telegram. Чужие фото в этом случае не прокатят, однако пользователи, которые выглядит моложе 18 лет, могут не пройти идентификацию.

Созданный на основе мини-приложения бот запускается из раздела настроек: Настройки > Настройки чатов (или Конфиденциальность и безопасность) > Материалы 18+. Наличия функций Face ID на устройстве для идентификации не требуется.

Новинка, если ей суждено осуществиться, ориентирована на пользователей стран, в которых введен запрет на просмотр контента деликатного характера для лиц моложе 18 лет, — к примеру, на жителей Великобритании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru