Компания «Доктор Веб» обнаружила Android-троянца, который пытается получить root-привилегии для незаметной загрузки, установки и удаления приложений по команде злоумышленников. Android.Toorch.1.origin скрывается в приложении-фонарике и может распространяться злоумышленниками через популярные сайты, а также загружаться при помощи рекламных модулей, входящих в состав приложений.
Чтобы Android.Toorch.1.origin заразил Android-смартфон или планшет, пользователь должен самостоятельно выполнить установку этой вредоносной программы, однако поскольку троянец «прячется» под маской легитимного приложения, вероятность его инсталляции потенциальными жертвами значительно возрастает. Примечательно, что внешне Android.Toorch.1.origin работает как полноценное приложение-фонарь, поэтому установившие его пользователи не должны заподозрить какой-либо подвох.
После запуска данный троянец соединяется с управляющим сервером и загружает на него следующую информацию о зараженном устройстве: текущее время; текущее местоположение, IMEI-идентификатор, уникальный идентификатор устройства, сгенерированный троянцем, версия троянца, наличие root-доступа, наличие активного подключения Wi-Fi, версия ОС, язык системы, используемый в данный момент, производитель и модель устройства, имя пакета троянца, тип сетевого подключения. Одновременно с этим Android.Toorch.1.origin пытается повысить свои системные привилегии до уровня root, для чего использует модифицированный злоумышленниками хакерский пакет com.apkol.root.
Опасность Android.Toorch.1.origin заключается в том, что устанавливаемые им вредоносные модули помещаются в системный каталог, который не сканируется во время выполнения быстрой проверки антивирусными продуктами Dr.Web для Android. В результате даже в случае удаления исходного троянского приложения-фонаря инсталлированные им компоненты остаются в системе и продолжают скрытно выполнять свою вредоносную деятельность, поэтому при первом обнаружении троянца Android.Toorch.1.origin важно выполнить полную проверку мобильного устройства. «Доктор Веб» создала утилиту ToorchRemover for Android, которая должна помочь удалить все вспомогательные компоненты трояна.
Источник: