Специалисты компании «Доктор Веб» обнаружили нового троянца, встроенного непосредственно в образ операционной системы целого ряда мобильных устройств под управлением Android. Вредоносное приложение, получившее имя Android.Becu.1.origin, способно загружать, устанавливать и удалять программы без ведома пользователей, а также может блокировать поступающие с определенных номеров SMS-сообщения. Основным компонентом Android.Becu.1.origin является apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой операционной системы, что дает ему неограниченные полномочия и позволяет выполнять все действия без вмешательства пользователя. Кроме того, это значительно затрудняет удаление троянца стандартными методами.
Троянец начинает свою деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых SMS-сообщений. Основной вредоносный функционал данной Android-угрозы - возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера. Троянец также может блокировать все поступающие с определенных номеров SMS-сообщения. На данный момент специалистам компании «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей Android-устройств бюджетного ценового сегмента, например, UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и так далее. Наиболее вероятным способом заражения этих устройств троянцем Android.Becu.1.origin является распространение в Интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов операционной системы недобросовестными поставщиками смартфонов и планшетов, участвующими в преступной схеме.
Поскольку Android.Becu.1.origin расположен непосредственно внутри самой операционной системы, его полное удаление стандартными методами проблематично, поэтому наиболее простым и безопасным способом борьбы с троянцем является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл троянца в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате вредоносное приложение станет неактивным и не сможет продолжить свою работу. Также возможно ручное удаление его основного компонента при наличии root-доступа или установка заведомо «чистого» образа операционной системы, которая повлечет за собой потерю всей сохраненной информации.