Лише нещодавно віруси тільки маскувалися під системні оновлення Android, а нині вони перейшли на новий рівень і розповсюджуються в офіційних апдейтах ОС. З таким зіткнулися власники німецьких смартфонів Gigaset. Сервери цієї компанії зламали, і юзерам почали надходити заражені апдейти.
Власники гаджетів Gigaset почали отримувати заражені системні апдейти з 27 березня. Вони помітили, що на їхніх девайсах постійно відкривається браузер і завантажує рекламу мобільних ігор. Також з’являлася незрозуміла програма з назвою easenf, яка повторно встановлювалася після видалення.
Виявилося, що easenf, а також інші програми gem, smart, xiaoan, автоматично встановлювалися засобами системних оновлень. Ресурс VirusTotal розпізнає ці додатки як рекламне програмне забезпечення та завантажувачі сторонніх програм.
Фахівці антивірусної лаборатораї Malwarebytes кажуть, що на смартфони встановлюється завантажувач PUP.Riskware.Autoins.Redstone, який реєструється на смартфоні під виглядом системного додатка com.redstone.ota.ui. Він відкриває шлях для завантаження троянців Trojan.Downloader.Agent.WAGD, які в системі знаходяться під назвами com.wagd.gem, com.wagd.smarter, com.wagd.xiaoan.
На деякі пристрої також встановлювався троянець Trojan.SMS.Agent.YHN4, яккий розсилає SMS для свого подальшого поширення.
У Malwarebytes рекомендують вимкнути автоматичне встановлення оновлень. Для цього потрібно активувати на смартфоні режим розробника та підключитися до нього по ADB. Як саме це зробити, можна прочитати в нашій пораді «Як підключити Android по ADB».
Після цього потрібно виконати команду adb shell pm disable-user –user 0 com.redstone.ota.ui. До речі, такою командою, вказуючи назву пакету додатка можна вимикати інші системні програми. Детальніше читайте в матеріалі «Як на Android видаляти системні додатки (без рут-доступу)».
У Gigaset загалом підтвердили наявність проблем, але повідомили, що вона стосується тільки старих пристроїв. У Gigaset заявляють, що проводять розслідування інциденту.
