Многие современные вирусы для ОС Android созданы для загрузки различного ПО на устройство, а также для постоянной демонстрации навязчивой рекламы. Это позволяет вирусописателям неплохо зарабатывать, поэтому активность в данном направлении только увеличивается. Один из таких вирусов – Android.Gmobi.1 – был обнаружен специалистами в прошивках почти 40 Android-устройств, а также в нескольких популярных программах.
Вирус представляет собой специализированный программный пакет (платформа SDK), предназначенный для расширения функциональности Android-программ. Данный инструмент используется как разработчиками ПО, так и производителями мобильных устройств. В частности, данный модуль предназначен для сбора аналитической информации, дистанционного обновления, демонстрации различных уведомлений (включая рекламные), а также для проведения мобильных платежей. На первый взгляд компонент выглядит вполне безобидным, однако Android.Gmobi.1 ведет себя во многом как классический троянец. Именно поэтому все приложения, в составе которых присутствует Android.Gmobi.1, детектируются антивирусами Dr.Web как вредоносные. В настоящее время специалисты обнаружили данный SDK в составе предустановленного ПО в почти сорока мобильных устройствах, а также в программах Asus WebStorage, TrendMicro Dr.Booster и TrendMicro Dr.Safety (доступны в Google Play). Компании, пострадавшие в данном инциденте, уже оповещены и занимаются решением проблемы.
У Android.Gmobi.1 в наличии несколько модификаций, которые имеют схожий функционал: сбор конфиденциальных данных с последующей отправкой на сервер злоумышленников. Специалисты отметили, что приложения, встроенные в прошивку мобильных устройств обычно имеют дополнительный функционал.
При подключении к интернету или включении дисплея (если экран был отключен более минуты), опасный модуль отправляет на сервер набор конфиденциальных данных:
— текущие координаты (GPS или информацию из сотовой сети);
— наличие роуминга;
— e-mail адреса пользователя;
— детальную техническую информацию об атакованном устройстве;
— наличие программы Google Play;
— страну нахождения устройства.
В ответ сервер присылает файл конфигурации, который и определяет следующие действия вредоносного модуля.