Лишь недавно вирусы только маскировались под системные обновления Android, а сейчас они перешли на новый уровень и распространяются в официальных апдейтах ОС. С таким столкнулись владельцы немецких смартфонов Gigaset. Серверы этой компании взломали, и юзерам начали поступать зараженные апдейты.
Владельцы гаджетов Gigaset начали получать зараженные системные апдейты с 27 марта. Они заметили, что на их девайсах постоянно открывается браузер и загружает рекламу мобильных игр. Также появлялась непонятная программы с названием easenf, которая повторно устанавливалась после удаления.
Оказалось, что easenf, а также другие приложения gem, smart, xiaoan, автоматически устанавливались средствами системных обновлений. Ресурс VirusTotal распознает эти приложения как рекламное программное обеспечение и загрузчики сторонних программ.
Специалисты антивирусной лаборатории Malwarebytes говорят, что на смартфоны устанавливается загрузчик PUP.Riskware.Autoins.Redstone, который регистрируется на смартфоне под видом системного приложения com.redstone.ota.ui. Он открывает путь для загрузки троянцев Trojan.Downloader.Agent.WAGD, которые в системе находятся под названиями com.wagd.gem, com.wagd.smarter, com.wagd.xiaoan.
На некоторые устройства также устанавливался троянец Trojan.SMS.Agent.YHN4, который рассылает SMS для своего дальнейшего распространения.
В Malwarebytes рекомендуют выключить автоматическую установку обновлений. Для этого нужно активировать на смартфоне режим разработчика и подключиться к нему по ADB. Как именно это сделать, можно прочитать в нашем совете «Как подключить Android по ADB».
После этого нужно выполнить команду adb shell pm disable-user –user 0 com.redstone.ota.ui. Кстати, такой командой, указывая название пакета приложения, можно выключать другие системные программы. Подробнее читайте в материале «Как на Android удалить системные приложения (без рут-доступа)».
В Gigaset в целом подтвердили наличие проблем, но сообщили, что она касается только старых устройств. В Gigaset заявляют, что проводят расследование инцидента.
