Аналитики «Доктор Веб» обнаружили новые вирусы, которые злоумышленники внедрили в ОС десятков моделей Android-устройств, среди которых есть довольно популярные модели. Вредоносные модули сохраняются в системных папках, что позволяет им скрытно загружать и инсталлировать сторонние приложения.

Одно из троянских приложений, занесенное в базы как Android.DownLoader.473.origin, обнаружено в большом количестве моделей, функционирующих на платформе MTK. На момент написания статьи вирус был обнаружен в 26 моделях различных производителей. При этом специалисты не исключают, что количество Android-устройств, зараженных этим вирусом, в дальнейшем будет увеличиваться.

Android.DownLoader.473.origin начинает активность при каждом включении скомпрометированного устройства. Утилита отслеживает активность модуля Wi-Fi и при выявлении подключения к сети соединяется с внешним управляющим сервером для загрузки инструкций (файл конфигурации). Файл содержит данные о программе, которую необходимо незаметно загрузить и инсталлировать на устройство.

Злоумышленники фактически получают возможность установить на устройство любое ПО. Это может быть безобидная программа (накрутка загрузок в Google Play), а также вредоносные и рекламные приложения. К примеру, вирус массово распространяет программу H5GameCenter (в базе компании Adware.AdBox.1.origin). После установки приложение добавляет на рабочий стол иконку с изображением коробки, которую сложно убрать с экрана. При нажатии на ярлык открывается встроенный каталог ПО. Также программа способна демонстрировать навязчивую рекламу.

По информации с форумов, где общаются пострадавшие пользователи, после удаления программы H5GameCenter оно устанавливается на устройстве повторно. За это отвечает DownLoader.473.origin – при обнаружении деинсталляции осуществляется новая загрузка и установка Adware.AdBox.1.origin.

Другая троянская программа, обнаруженная в ОС Android, занесена в базы как Android.Sprovider.7. Пока найдена в смартфонах A6000 и A319 компании Lenovo. Вирус встроен в программу Rambla, предназначенную для доступа к одноименному каталогу Android-программ.

Понравилась эта новость? Подпишись на нас в соцсетях!