Android.SmsSend.186.origin - троян отправляющий платные СМС-сообщения


Android.SmsSend.186.origin - троян семейства Android.SmsSend (родом из Китая), предназначенный для отправки СМС-сообщений с повышенной тарифной стоимостью. Особенность этого трояна - его многократные требования доступа к списку администраторов мобильного устройства, что при определенных условиях значительно затрудняет его удаление.

Android.SmsSend.186.origin попадает на мобильные устройства пользователей при помощи дроппера, содержащего внутри себя программный пакет трояна. Дроппер Android.MulDrop.5.origin скрывается в разнообразных "живых обоях" и при установке не требует специальных разрешений, поэтому у пользователей не должно возникнуть никаких подозрений.

Ustanovka droppera Android.MulDrop.5

После запуска Android.MulDrop.5.origin демонстрирует сообщение на китайском языке, в котором предлагается установить некий компонент:

Soobshenie na kitaiskom pro ustanovku komponenta

При согласии пользователя, начнется процесс установки скрытого внутри дроппера троянского приложения.

Ustanovka skritogo droppera troyana

Для своей работы Android.SmsSend.186.origin требует доступ к большому числу функций, однако название приложения "Android ????" (Android System Service) может ввести в заблуждение многих китайских пользователей, в результате чего они продолжат установку.

Вредоносная программа не создает иконку приложения в главном меню мобильного устройства и работает в качестве сервиса. После установки она запрашивает доступ к функциям администратора мобильного устройства под предлогом значительной экономии заряда аккумулятора. Учитывая, что Android.SmsSend.186.origin использует имя, похожее на название одного из системных приложений, необходимые полномочия ему, скорее всего, будут предоставлены. Однако в случае отказа пользователя предоставить трояну требуемые полномочия, он будет запрашивать их вновь и вновь, пока, наконец уставший от надоедливого сообщения владелец Android-устройства не даст свое согласие.

Soglasie na aktivaciu politik bezopasnosti

При определенных условиях троян может стать администратором Android-устройства и без разрешения пользователя. Это может произойти при условии, что ранее троян уже функционировал на том же самом мобильном устройстве в режиме администратора. В случае попытки пользователем избавиться от надоедливой просьбы вредоносной программы путем перезагрузки мобильного устройства, тогда Android.SmsSend.186.origin автоматически после перезагрузки устройства получит необходимые полномочия, чего пользователь даже не заметит.

Помимо функции отправки СМС-сообщений с повышенной стоимостью, Android.SmsSend.186.origin имеет возможность отправлять злоумышленникам входящие СМС, а это уже раскрытие частной информации пользователей. Однако данный троян интересен в первую очередь тем, что в некоторых случаях с активированным режимом администратора мобильного устройства он фактически получает возможность противодействовать своему удалению, т.к. при попытках пользователя выполнить необходимые для этого действия возвращает его к главному экрану мобильного устройства. Это первый из известных случаев, когда вредоносная программа для ОС Android предпринимает попытки активного противодействия борьбе с ней.

Для удаления этого трояна необходимо:

  1. Убрать приложение с именем
    • "Android ????"
    • из числа администраторов устройства, зайдя в системные настройки

    • "Безопасность" –> "Выбрать администраторов устройства"
    • и сняв соответствующую галочку.


  2. После лишения трояна администраторских полномочий, он попытается снова их получить, выводя соответствующее сообщение. Поэтому необходимо завершить работу процесса вредоносной программы, зайдя в меню
    • "Приложения" –> "Управление приложениями"
    • и остановить его выполнение.


  3. После этого можно удалить трояна стандартным способом
    • "Приложения" –> "Управление приложениями"
    • либо установить антивирусную программу и произвести с ее помощью проверку системы и удаление найденных вредоносных объектов.


Как отмечалось ранее, при определенных условиях Android.SmsSend.186.origin может препятствовать своему удалению, возвращая пользователя из меню настроек на главный экран операционной системы. В этом случае необходимо открыть список недавно запущенных приложений, зажав функциональную кнопку

  • "Домой"

и выбрать последние вызванные системные настройки. Следует повторять этот алгоритм до тех пор, пока необходимое для удаления трояна действие не будет выполнено.