Специалисты «Доктор Веб» сообщили о выявлении вируса-дозвонщика, который атакует Android-устройства и обладает эффективными инструментами защиты от удаления. Вредоносные приложения, предназначенные для совершения платных звонков, известны специалистам давно: данный тип угроз был распространен еще в эпоху dial-up, когда для связи использовались модемы. Позднее злоумышленники переключились на мобильные устройства. Главная задача таких приложений – совершение вызовов на определенный номер (обычно принадлежит сервису «для взрослых»), что приводит к списанию значительной суммы со счета. Сегодня подобные программы встречаются относительно редко.
Новый вирус, занесенный в базы как Android.Dialer.7.origin, распространяется злоумышленниками под видом приложения эротического характера. После инсталляции вирус помещает на рабочий стол свой ярлык, что создает впечатление завершения установки программы. В некоторых случаях после запуска утилита демонстрирует сообщение об ошибке получения доступа к запрошенной услуге, после чего ярлык с рабочего стола удаляется. Кроме ручного запуска при помощи ярлыка, активация сервиса может происходить в автоматическом режиме, к примеру, после перезагрузки устройства.
Запущенный утилитой вредоносный сервис через определенный период инициирует звонок на платный номер 803402470, который изначально прописан в настройках вредоносной программы. При помощи внешней команды злоумышленники могут сменить данный номер, что позволяет сделать приложение более гибким.
Чтобы снизить вероятность обнаружения вредоносной активности, троянская утилита во время исходящего вызова отключает разговорный динамик, а также удаляет соответствующую информацию из системного журнала и перечня совершенных звонков.
Однако главная особенность нового вируса – способность эффективно противостоять попыткам ручного удаления. При открытии настроек, отвечающих за управление программами, вредоносное приложение блокирует данное действие – пользователь попадает на рабочий стол. Таким образом, удалить вирус вручную практически невозможно.