«Наполегливий» СМС-троянець для Android перешкоджає своєму видалення

Компанія «Доктор Веб» попереджає про поширення чергового троянця сімейства Android.SmsSend (родом з Китаю), призначеного для відправки СМС-повідомлення з підвищеною тарифної вартістю. Особливістю цього троянця є його багаторазові вимоги доступу до списку адміністраторів мобільного пристрою, що за певних умов може значно ускладнити його видалення.

На відміну від більшості шкідливих програм сімейства Android.SmsSend, що поширюються зловмисниками напряму, Android.SmsSend.186.origin попадає на мобільні пристрої користувачів за допомогою дроппера, яке містить всередині себе програмний пакет троянця. Dropper Android.MulDrop.5.origin ховається в різноманітних «живих шпалерах» і при встановленні не вимагає спеціальних дозволів, тому у користувачів не повинно виникнути жодних підозр.

Після запуску Android.MulDrop.5.origin демонструє повідомлення на китайською мовою, в якому пропонується встановити якийсь компонент:

Якщо користувач погодиться це зробити, почнеться процес установки прихованого всередині дроппера троянського програми.

Для своєї роботи Android.SmsSend.186.origin вимагає доступ до великої кількості функцій, однак назва програми «Android 系统服务» (Android System Service) може ввести в оману багатьох китайських користувачів, на яких, по більшій частині, і розрахований троян, в результаті чого вони продовжать установку.

Шкідлива програма не створює іконку програми в головному меню мобільного пристрою і працює в якості сервісу. Після установки вона запитує доступ до функцій адміністратора мобільного пристрою під приводом того, що це дозволить значно заощадити заряд акумулятора. Враховуючи те, що Android.SmsSend.186.origin використовує ім'я, схожу на назву одного з системних додатків, необхідні повноваження йому, швидше за все, будуть надані. Однак на випадок, якщо користувач відмовиться дати троянцу необхідні повноваження, він буде запитувати їх знову і знову, поки нарешті втомлений від докучливого повідомлення власник Android-пристрої не дасть свою згоду.

При певних умовах троянець може стати адміністратором Android-пристрої і без дозволу користувача. Це може статися в разі роботи шкідливої програми на деяких версіях ОС Android за умови, що раніше троянець вже функціонував на тому ж самому мобільному пристрої у режимі адміністратора. У результаті, якщо користувач спробує позбутися докучливою прохання шкідливої програми, скинувши мобільний пристрій, його буде чекати неприємний сюрприз: після перезавантаження системи Android.SmsSend.186.origin автоматично отримає необхідні повноваження, чого користувач навіть не помітить. Такий сценарій малоймовірний, проте не виключений і є дуже небезпечним.

Крім функції відправки СМС-повідомлення з підвищеною вартістю, Android.SmsSend.186.origin має можливість відправляти зловмисникам вхідні SMS, що потенційно несе ризик розкриття приватної інформації користувачів. Однак цей троян цікавий в першу чергу тим, що в деяких випадках з активованим режимом адміністратора мобільного пристрою він фактично отримує можливість протидіяти своєму видалення, оскільки при спробах користувача виконати необхідні для цього дії повертає його до головного екрану мобільного пристрою. Це перший з відомих випадків, коли шкідлива програма для ОС Android робить спроби активної протидії боротьбі з нею.

Для того щоб видалити троянця з системи, необхідно виконати ряд дій:

По-перше, слід прибрати програму з назвою «Android 系统服务» з числа адміністраторів пристрою, зайшовши в системні налаштування «Безпека» -> «Вибрати адміністраторів пристрою» і знявши відповідну галочку.
Після того як троян буде позбавлений цих повноважень, він спробує знову їх отримати, виводячи відповідне повідомлення, тому необхідно завершити роботу процесу шкідливої програми, зайшовши в меню «Програми» -> «Керування додатками», і зупинити його виконання.
Після цього можна видалити троян стандартним способом («Додатки» -> «Керування додатками») або встановити антивірусну програму й зробити з її допомогою перевірку системи і видалення знайдених шкідливих об'єктів.

Як вже зазначалося раніше, при певних умовах Android.SmsSend.186.origin може перешкоджати своєму видалення, повертаючи користувача з меню налаштувань на головний екран операційної системи. У цьому випадку необхідно відкрити список недавно запущених додатків, затиснувши функціональну кнопку «Додому», і вибрати останні викликані системні налаштування. Слід повторювати цей алгоритм до тих пір, поки необхідне для видалення троянця дія не буде виконано.