Об опасности, исходящей от вредоносных программ, которые распространяются в составе различных прошивок для ОС Android, хорошо известно специалистам по информационной безопасности, но не всегда — рядовым пользователям. Вместе с тем лечение данного типа угроз весьма затруднено и может быть сопряжено с риском потери гарантии, повреждением ценной информации или работоспособности устройства. Компания «Доктор Веб» напомнила о том, что владельцы мобильных Android-устройств могут столкнуться с действием подобных вредоносных программ не только во время установки стороннего образа операционной системы, содержащего такого троянца, но также и при покупке совершенно нового устройства, на котором может находиться нежелательное приложение.

Вредоносная программа, внесенная в вирусную базу компании «Доктор Веб» как Android.SmsSend.1081.origin, представляет собой встроенный непосредственно в одну из Android-прошивок аудиоплеер, который имеет скрытую функцию пересылки информации об IMSI-идентификаторе пользователя на заданный мобильный номер. По замыслу авторов программы, данное действие предполагает регистрацию пользователя в одном из музыкальных онлайн-сервисов, расположенных в Китае. Однако фактически ее работа никак не регулируется: нет ни проверки географического положения владельца мобильного устройства, ни контроля числа сообщений, которые отправляются каждый раз при запуске плеера. Например, российским пользователям эта оплошность обходится в 5-7 рублей за одно СМС. Таким образом, функционал программы, изначально заложенный разработчиками как полезный, в конечном итоге стал нежелательным, именно поэтому она была классифицирована вирусными аналитиками компании как троянская.

Стоит отметить, что троянцы, содержащиеся внутри образов операционной системы, в настоящее время не имеют широкого распространения, однако они не менее опасны, чем другие вредоносные программы, устанавливаемые самими пользователями и распространяемые злоумышленниками при помощи различных каталогов приложений, форумов и сайтов — сборников ПО. В частности, один из последних инцидентов с участием подобной троянской программы освещался компанией «Доктор Веб» в январе. Тогда на сотнях тысяч мобильных устройств был обнаружен троянец Android.Oldboot.1, скрытый внутри файловой системы и выполняющий инфицирование мобильного устройства при каждом его включении. Основной его задачей являлась установка и удаление различных программ. А позднее в вирусную базу была внесена запись для троянца, предназначенного для отправки на заданный номер СМС-сообщения, содержащего информацию об IMEI-идентификаторе мобильного устройства. Эта вредоносная программа, детектируемая Dr.Web для Android как Android.SmsSend.1067.origin, является модифицированной версией стандартного системного пакета для работы с короткими сообщениями.

Главной опасностью таких вредоносных программ, вне зависимости от их функционала, является то, что их удаление стандартными способами осложняется необходимостью получения привилегированного доступа к функциям операционной системы, а также системным файлам (root-доступ), либо установкой заведомо «чистой» версии прошивки. Все эти действия сопровождаются определенными рисками, поскольку требуют вмешательства в файловую систему и могут стать причиной не только отзыва гарантии, но и потери ценных данных и даже поломки мобильного устройства.

Чтобы минимизировать негативные последствия от действия таких вредоносных приложений, владельцам мобильных устройств под управлением ОС Android следует избегать использования непроверенных версий файлов-прошивок, а также не приобретать мобильные устройства сомнительного происхождения. Тем же пользователям, которые все-таки столкнулись с подобными случаями распространения троянских программ, рекомендуется выполнить следующие шаги.

Удостовериться, является ли используемая версия прошивки оригинальной — поставляемой производителем мобильного устройства. Для этого необходимо связаться с представителями компании-изготовителя, например, с ее службой технической поддержки. В случае если используемая прошивка является неоригинальной, рекомендуется установить заводскую версию образа операционной системы в соответствии с инструкциями поставщика оборудования.

Если вы самостоятельно установили стороннюю прошивку для своего мобильного устройства, и она содержит в себе троянца, рекомендуется вернуться к заводской версии прошивки.

В случае если текущая версия прошивки является заводской, однако содержит вредоносную программу, необходимо также связаться с компанией-изготовителем для дальнейшего прояснения ситуации.

Если вы обладаете достаточными техническими знаниями и навыками, вы можете попытаться удалить вредоносную программу, предварительно получив root-права, однако в этом случае не исключены отзыв гарантии или поломка мобильного устройства, поэтому данное действие должно выполняться на свой страх и риск.

Если в текущей версии прошивки присутствует вредоносная программа, вы можете попытаться выполнить ее полное или частичное отключение, для чего следует зайти в системное меню управления приложениями и для соответствующей программы выбрать опцию «Отключить».

Пресс-релиз

Версия для печати