Компания «Доктор Веб» предупреждает о наличии вредоносной программы в прошивке ряда Android-смартфонов, относящихся к бюджетной категории.

Зловред получил название Android.Becu.1.origin. Он состоит из нескольких тесно взаимодействующих друг с другом модулей. Основным компонентом является apk-файл Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы. Это даёт зловреду неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя.

Троян начинает работу при включении мобильного устройства или при поступлении SMS. Сначала Android.Becu.1.origin загружает с удалённого сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге трояна и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим запускается второй компонент — uac.dex, хранящийся в том же рабочем каталоге. Далее программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, который в случае отсутствия загружается и устанавливается на устройство. Данный модуль регистрирует зараженный смартфон или планшет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin.

Вредоносная программа способна без ведома пользователя загружать, устанавливать и удалять различные приложения, а также блокировать SMS с определённых номеров.

Отмечается, что зловред присутствует на целом ряде Android-устройств бюджетного класса, в частности, на моделях UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и др. «Доктор Веб» подчёркивает, что наиболее вероятными путями заражения являются распространение в Интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов.

Поскольку троян расположен непосредственно в прошивке мобильного устройства, процесс его удаления сопряжён с определёнными сложностями. Для этого потребуется ручное удаление основного компонента зловреда при наличии root-доступа, а также установка заведомо «чистого» образа операционной системы.