Eksperci ds bezpieczeństwa i zagrożeń wirusowych w Doctor Web udało się zidentyfikować trojana wbudowanego bezpośrednio w system Android wielu urządzeń.

Szkodnik o nazwie Android.Becu.1.origin jest w stanie pobrać, zainstalować i odinstalować program bez wiedzy użytkownika. Szkodnik może także blokować niektóre numery telefonów i SMSy od nich.

Jest on wielomodułowy z czego najważniejszy jest Android.Becu.1.origin ukryta w pliku Cube_CJA01.apk. Znajduje się ona bezpośrednio w katalogu systemowym i jest cyfrowo podpisany przez system operacyjny co daje mu nieograniczone możliwości. Samo położenie daje mu dostęp do oprogramowania sprzętowego co znacznie też i komplikuje wykorzystanie konwencjonalnych metod usuwania.

Uruchamia się on wraz ze startem systemu. Wszystkie pliki konfiguracyjne są pobierane ze zdalnego serwera. Wszystko jest tutaj zaszyfrowane i po pobraniu zapisuje się w katalogu roboczym uac.apk. Trojan działa w pamięci RAM za pomocą klasy DexClassLoader. Wtedy to szkodnik uruchamia drugi składnik uac.dex zapisany w tym samym folderze. Obie one są odpowiedzialne za funkcjonowanie szkodnika.

Może on teraz już pobierać, instalować i usuwać komponenty. Po wszystkim instaluje w systemie pakiet com.zgs.ga.pack. Plik ten identyfikuje zainfekowane urządzenie i dostarcza o nim informacje do zdalnego serwera. W momencie próby usunięcia jakiegokolwiek z plików, te natychmiastowo są przywracane.

źródło: ferra.ru