Троянец скрывается в официальной Android-прошивке

Обычно для заражения Android-смартфонов и планшетов злоумышленники обманом заставляют своих жертв самостоятельно выполнить установку того или иного вредоносного приложения. Однако данная методика — не единственная в арсенале вирусописателей. Так, специалисты «Доктор Веб» продолжают отмечать случаи, когда Android-троянцы уже предустановлены на мобильные устройства в качестве системных приложений и незаметно для их владельцев осуществляют вредоносную деятельность.

По такому сценарию внедряется вредоносное приложение Android.Backdoor.114.origin. Как результат — удаление этого троянца стандартными способами становится практически неосуществимым: пользователю требуются либо root-привилегии, получить которые не всегда возможно, либо установка заведомо «чистого» образа операционной системы с последующей потерей всех имеющихся данных, для которых не была создана резервная копия.

В частности, жертвами бэкдора стали владельцы Android-планшета Oysters T104 HVi 3G, на котором вредоносная программа скрывается в предустановленном приложении с именем GoogleQuickSearchBox.apk. Производитель данной модели был уведомлен о наличии проблемы, однако на момент публикации этого материала доступная для загрузки официальная версия прошивки аппарата не претерпела никаких изменений и по-прежнему содержит в себе бэкдор.

Android.Backdoor.114.origin собирает и отправляет на управляющий сервер широкий спектр информации о зараженном устройстве. Однако основное предназначение троянца — незаметная загрузка, установка и удаление приложений по команде управляющего сервера. Примечательно, что троянец способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников, если данная функция изначально была неактивна.