Купівля нового телефона продовжується залишатися ризиком. Адже новенький гаджет може мати у своїй прошивці вірус. Подібне траплялося ще у 2015 році – експерти знайшли понад 20 мобільних телефонів, які з магазинних полиць містили шкідливе ПЗ. Нещодавно експерти Dr.Web виявили ще 28 моделей з попередньо інстальованим вірусом.
Виявлені шкідливі програми розташовуються в системних каталогах і непомітно для користувачів завантажують і встановлюють програми. Один із цих троянців Android.DownLoader.473.origin знаходиться в прошивках популярних Android-пристроїв, які працюють на апаратній платформі MTK:
- MegaFon Login 4 LTE
- Irbis TZ85
- Irbis TX97
- Irbis TZ43
- Bravis NB85
- Bravis NB105
- SUPRA M72KG
- SUPRA M729G
- SUPRA V2N10
- Pixus Touch 7.85 3G
- Itell K3300
- General Satellite GS700
- Digma Plane 9.7 3G
- Nomi C07000
- Prestigio MultiPad Wize 3021 3G
- Prestigio MultiPad PMT5001 3G
- Optima 10.1 3G TT1040MG
- Marshal ME-711
- 7 MID
- Explay Imperium 8
- Perfeo 9032_3G
- Ritmix RMD-1121
- Oysters T72HM 3G
- Irbis tz70
- Irbis tz56
- Jeka JK103
Однак експерти кажуть, що кількість інфікованих цим троянцем моделей Android-пристроїв може бути набагато більшою.
Android.DownLoader.473.origin є троянцем-завантажувачем, який починає роботу під час кожного ввімкнення зараженого пристрою. Шкідлива програма відстежує активність WiFi-модуля і після виявлення мережевого підключення з’єднується з керівним сервером, звідки отримує завдання на завантаження та непомітну інсталяцію вказаних програм. Це можуть бути як необразливі, так і небажані або навіть шкідливі додатки. Наприклад, Android.DownLoader.473.origin активно поширює рекламний додаток H5GameCenter, який показує поверх всіх програм, які працюють, невелике зображення коробки, яке неможливо прибрати з екрана. Натиснувши на неї, користувач потрапляє в каталог програм для завантаження. Крім того, ця небажана програма показує рекламні банери.
Інший виявлений у прошивках деяких Android-пристроїв троянець отримав ім’я Android.Sprovider.7. Його знайшли, наприклад, на смартфонах Lenovo A319 і Lenovo A6000. Ця шкідлива програма вбудована в додаток Rambla, яке надає доступ до однойменного каталогу програм для ОС Android. Окрім цього, троянець може відкрити в браузері задане зловмисниками посилання, зателефонувати за вказаним номером, показати рекламу поверх усіх додатків та в панелі повідомлень.
У Dr.Web вважають, що за накручування кількості встановлень додатків та штучне підвищення їхніх рейтингів шахраї отримують прибуток. Тому, найімовірніше, шкідливі програми потрапили в прошивки мобільних пристроїв з вини недобросовісних підрядників, які брали участь у підготовці прошивок для телефонів та вирішили заробити за рахунок користувачів.
