Android.SmsSend.1081.origin - Android-приложение, приводящее к тратам пользователей


Android.SmsSend.1081.origin - вредоносная программа, представляющая собой аудиоплеер, который встроен непосредственно в одну из Android-прошивок, и имеет скрытую функцию пересылки информации об IMSI-идентификаторе пользователя на заданный мобильный номер.

Специалисты считают, что данное действие предполагает регистрацию пользователя в одном из музыкальных онлайн-сервисов, расположенных в Китае. Однако при этом ее работа никак не регулируется, т.е. нет ни проверки географического положения владельца мобильного устройства, ни контроля числа сообщений, которые отправляются каждый раз при запуске плеера. Так российским пользователям эта оплошность обходится в 5-7 рублей за одно СМС. Таким образом, функционал программы, заложенный разработчиками как полезный, в конечном итоге стал нежелательным, именно поэтому антивирусная компания классифицировала ее как троянскую.

Стоит отметить, что троянские программы, содержащиеся внутри образов операционной системы, в настоящее время не имеют широкого распространения. Однако это не означает, что они менее опасны, чем другие вредоносные программы, устанавливаемые пользователями и распространяемые злоумышленниками при помощи различных каталогов приложений, форумов и сайтов – сборников ПО. Так, например, во время последнего инцидента с участием подобной троянской программы, на сотнях тысяч мобильных устройств был обнаружен троян Android.Oldboot.1, скрытый внутри файловой системы и выполняющий инфицирование мобильного устройства при каждом его включении. Задачей выявленного вредоноса являлась установка и удаление различных программ. Позднее в вирусную базу была внесена запись для троянской программы, предназначенной для отправки на заданный номер СМС-сообщения, содержащего информацию об IMEI-идентификаторе мобильного устройства. Эта вредоносная программа получила наименование Android.SmsSend.1067.origin, и была модифицированной версией стандартного системного пакета для работы с короткими сообщениями.

Главная опасность таких вредоносных программ, заключается в невозможности их удаления стандартными способами, т.к. для этого необходимо получить привилегированный доступ к функциям операционной системы, а также системным файлам (root-доступ), либо установкой заведомо "чистой" версии прошивки. Соответственно все эти действия сопровождаются определенными рисками, так как требуют вмешательства в файловую систему и могут стать причиной не только отзыва гарантии, но и потери ценных данных и даже поломки мобильного устройства.

Для снижения последствий от действия таких вредоносных приложений, владельцам мобильных устройств под управлением ОС Android стоит избегать использования непроверенных версий файлов-прошивок, а также не приобретать мобильные устройства сомнительного происхождения. Пользователям, столкнувшимся с подобными случаями распространения троянских программ, рекомендуется выполнить следующие действия:

  • Удостовериться в оригинальности прошивки, поставляемой производителем мобильного устройства. Если используется не оригинальная, то необходимо установить заводскую версию образа операционной системы в соответствии с инструкциями поставщика оборудования.
  • При самостоятельной установке сторонней прошивки, содержащей трояна, рекомендуется вернуться к заводской версии прошивки.
  • Если текущая версия прошивки является заводской, однако содержит вредоносную программу, необходимо выяснить у компании-изготовителя "что и почем" - разобраться в ситуации.
  • При достаточных технических знаниях и навыках, вредоносную программу можно попытаться удалить самостоятельно, предварительно получив root-права.
  • Если в текущей версии прошивки присутствует вредоносная программа, можно попытаться выполнить ее полное или частичное отключение, для чего следует зайти в системное меню управления приложениями и для соответствующей программы выбрать опцию "Отключить".