Новый Android-троянец, занесенный в базы «Доктор Веб» как Android.Dialer.7.origin, представляет собой стандартное приложение-дозвонщик, которое скрытно совершает звонки на платные номера. Распространяется опасный вирус под видом эротической программы. После инсталляции утилита добавляет на рабочий стол ярлык, что создает ложное впечатление о завершении установки. В некоторых случаях после активации утилита может выдать сообщение о невозможности подключиться к услуге, после чего окончательно удаляет следы своего присутствия (включая ярлык с рабочего стола). Кроме ручного запуска через ярлык, троянская программа может активировать сервис автоматически, к примеру, после перезагрузки устройства. В этом случае вирус активируется без участия пользователя.
Запущенный утилитой вредоносный сервис периодически совершает вызовы на сервисный номер 803402470 (прописан в настройках). Функционал приложение позволяет при помощи внешней команды сменить данный номер, что позволяет злоумышленникам зарабатывать на нескольких сервисах.
Для снижения вероятности обнаружения пользователем вредоносной активности, троянская программа во время вызова отключает разговорный динамик, а также удаляет соответствующие записи из списка вызовов и системного журнала.
Еще одна особенность дозвонщика – способность эффективно противостоять попыткам ручного удаления с накопителя. Как только владелец устройства открывает системные настройки и открывает раздел для управления установленными программами, утилита блокирует это действие – пользователь попадает на рабочий стол. Это не позволяет удалить вредоносные модули в ручном режиме.
Антивирусные решения успешно фиксируют и удаляют троянское приложение. Пользователи антивирусных решений «Доктор Веб», испытывающие сложность в процессе удаления вируса, могут воспользоваться встроенным в антивирус инструментом для аварийной разблокировки мобильного устройства. После этого можно повторно просканировать систему на наличие вредоносного кода.