Рекламный троянец проник в прошивку Android-устройств и приложения

Многие современные вирусы для ОС Android созданы для загрузки различного ПО на устройство, а также для постоянной демонстрации навязчивой рекламы. Это позволяет вирусописателям неплохо зарабатывать, поэтому активность в данном направлении только увеличивается. Один из таких вирусов – Android.Gmobi.1 – был обнаружен специалистами в прошивках почти 40 Android-устройств, а также в нескольких популярных программах.

Вирус представляет собой специализированный программный пакет (платформа SDK), предназначенный для расширения функциональности Android-программ. Данный инструмент используется как разработчиками ПО, так и производителями мобильных устройств. В частности, данный модуль предназначен для сбора аналитической информации, дистанционного обновления, демонстрации различных уведомлений (включая рекламные), а также для проведения мобильных платежей. На первый взгляд компонент выглядит вполне безобидным, однако Android.Gmobi.1 ведет себя во многом как классический троянец. Именно поэтому все приложения, в составе которых присутствует Android.Gmobi.1, детектируются антивирусами Dr.Web как вредоносные. В настоящее время специалисты обнаружили данный SDK в составе предустановленного ПО в почти сорока мобильных устройствах, а также в программах Asus WebStorage, TrendMicro Dr.Booster и TrendMicro Dr.Safety (доступны в Google Play). Компании, пострадавшие в данном инциденте, уже оповещены и занимаются решением проблемы.

У Android.Gmobi.1 в наличии несколько модификаций, которые имеют схожий функционал: сбор конфиденциальных данных с последующей отправкой на сервер злоумышленников. Специалисты отметили, что приложения, встроенные в прошивку мобильных устройств обычно имеют дополнительный функционал.

При подключении к интернету или включении дисплея (если экран был отключен более минуты), опасный модуль отправляет на сервер набор конфиденциальных данных:

— текущие координаты (GPS или информацию из сотовой сети);

— наличие роуминга;

— e-mail адреса пользователя;

— детальную техническую информацию об атакованном устройстве;

— наличие программы Google Play;

— страну нахождения устройства.

В ответ сервер присылает файл конфигурации, который и определяет следующие действия вредоносного модуля.





Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: