Во вредоносной программе, так называемом трояне-дозвонщике, для мобильных устройств на платформе Android обнаружен механизм самозащиты, благодаря которому пользователь зараженного устройства не может ее удалить. Об этом говорится в сообщении компании «Доктор Веб».
Основным предназначением трояна является совершение дорогостоящих звонков без согласия пользователя. Основная задача подобных программ — установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за это с абонентского счета пользователя списывается внушительная сумма, поступающая злоумышленникам.
Согласно сообщению, новый Android-троян представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троян распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась.
В ряде случаев после запуска программа может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя.
Запускаемый трояном сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках программы. Однако при необходимости киберпреступники могут изменить целевой номер дозвона, отдав вредоносному приложению соответствующую команду с управляющего сервера, — это позволяет авторам программы заработать сразу на нескольких платных сервисах.
Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.
Однако главной особенностью этого дозвонщика является его способность противостоять попыткам пользователя удалить угрозу с зараженного мобильного устройства: как только пострадавший откроет раздел системных настроек, отвечающий за управление приложениями, программа заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.

Источник: lenta.ru