Android.DownLoader.473.origin - троян, обнаруженный в прошивках популярных мобильных Android-устройств


Android.DownLoader.473.origin - троянская программа для Android-устройств, обнаруженная в прошивках нескольких десятков моделей смартфонов, предназначенная для незаметной загрузки и установки приложений.

Android.DownLoader.473.origin внедряется в прошивки множества моделей популярных Android-устройств, работающих на аппаратной платформе MTK. На момент публикации вредонос был найден на 26 моделях смартфонов, среди которых:

  • MegaFon Login 4 LTE
  • Irbis TZ85
  • Irbis TX97
  • Irbis TZ43
  • Bravis NB85
  • Bravis NB105
  • SUPRA M72KG
  • SUPRA M729G
  • SUPRA V2N10
  • Pixus Touch 7.85 3G
  • Itell K3300
  • General Satellite GS700
  • Digma Plane 9.7 3G
  • Nomi C07000
  • Prestigio MultiPad Wize 3021 3G
  • Prestigio MultiPad PMT5001 3G
  • Optima 10.1 3G TT1040MG
  • Marshal ME-711
  • 7 MID
  • Explay Imperium 8
  • Perfeo 9032_3G
  • Ritmix RMD-1121
  • Oysters T72HM 3G
  • Irbis tz70
  • Irbis tz56
  • Jeka JK103


Android.DownLoader.473.origin не что иное, нежели троян-загрузчик, который начинает работу при каждом включении зараженного устройства, отслеживая системное событие android.intent.action.BOOT_COMPLETED - активность Wi-Fi-модуля. После обнаружения сетевого подключения вредонос запускает широковещательный приемник (BroadcastReceiver) на событие android.net.wifi.STATE_CHANGE. Затем соединяется с управляющим сервером, расположенным по адресу http://www.******on.com/version.xml, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое трояну необходимо скачать. Пример такого файла:

<update>
 <version>12</version>
 <name>Temp</name>
 <package>com.google.ePlay4Service</package>
 <url>http://push-****.**cdn.com/h5ep4.apk</url>
 <ipurl>http://pull-****.**cdn.com/getip.php</ipurl>
 <startup1>com.google.ePlay4Service</startup1>
 <startup2>null</startup2>
 <startup3>null</startup3>
 <startup4>null</startup4>
 <startup5>null</startup5>
 <startup6>null</startup6>
 <startup7>null</startup7>
 <startup8>null</startup8>
 <startup9>null</startup9>
 <country>allable</country>
 <reject>Air_7,E500H1,ARCHOS,ACHOS,Optima ,Plane ,A739,Ursus
TS270,UIT306B-W02,UIT306B-W03,YU-800,HIT 4G HT7074ML,M7L,T72HA,Penta WS704D,E7014HG</reject>
</update>


После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает с использованием команды pm install -r.

Троян способен скачивать на зараженные устройства любое ПО, как безобидное, так и нежелательное или даже вредоносное. Например, Android.DownLoader.473.origin активно распространяет рекламное приложение H5GameCenter, детектируемое, как Adware.AdBox.1.origin. После его установки приложение показывает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который будет открыт встроенный в нее каталог ПО. Кроме того, эта нежелательная программа показывает рекламные баннеры.

Adware.AdBox.1.origin Ustanovka prilojeniy1 Adware.AdBox.1.origin Ustanovka prilojeniy2

При попытке удаления приложение H5GameCenter, оно устанавливается в систему вновь, и значок коробки опять отображается поверх всех программ. Это вызвано тем, что Android.DownLoader.473.origin повторно скачивает и устанавливает Adware.AdBox.1.origin, если программа удаляется с устройства.

Adware.AdBox.1.origin Forum1 Adware.AdBox.1.origin Forum2 Adware.AdBox.1.origin Forum3


Android.Sprovider.7 - еще один троян, обнаруженный в прошивках ряда Android-устройств. Зловред был найден на смартфонах Lenovo A319 и Lenovo A6000. Данная вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android.

Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле, детектируемом, как Android.Sprovider.12.origin. Этот модуль в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз при выводе пользователем устройства из режима блокировки экрана, троян проверяет работоспособность этого вспомогательного компонента. В случае его неактивности, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin обладает широким набором функций. Он может:

  • скачивать apk-файл и устанавливать его стандартным способом с запросом разрешения у пользователя;
  • запускать установленное приложение;
  • открывать в браузере заданную злоумышленниками ссылку;
  • звонить по определенному номеру с помощью стандартного системного приложения;
  • запускать стандартное системное телефонное приложение, в котором уже будет набран определенный номер;
  • показывать рекламу поверх всех приложений;
  • показывать рекламу в панели уведомлений;
  • создавать ярлык на домашнем экране;
  • обновлять основной вредоносный модуль.


Предполагается, что вредоносные программы Android.DownLoader.473.origin и Android.Sprovider.7 попали в прошивки мобильных устройств по вине недобросовестных субподрядчиков, которые участвовали в создании образов ОС и решили заработать за счет пользователей.