Пользователи смартфонов на операционной системе (ОС) Android версии 5.1 и ниже столкнулись с атакой новой версии вируса-трояна, без разрешения устанавливающего на устройства платные приложения. Этой версией ОС могут пользоваться 25–26% владельцев смартфонов на Android. По данным компании «Доктор Веб», создатели вируса вируса зарабатывают на партнерских программах, получая долю выручки от разработчиков приложений.
Фото: Олег Харсеев, Коммерсантъ
В компании «Доктор Веб» (российский разработчик антивируса Dr.Web) сообщили об обнаружении неудаляемого вируса-трояна Android.Xiny.5261 под мобильную ОС Android. Он работает только под старыми версиями Android — до 5.1 включительно (вышла в 2015 году). При этом, по данным Google на 7 мая 2019 года, 25,2% устройств на Android по-прежнему работали под управлением Android 5.1 и ниже. Среди пользователей Dr.Web на подобных версиях Android работают 26%, уточнили в компании.
Вирус может попасть на смартфон через сайты с Android-приложениями и официальный магазин Google Play, утверждает представитель «Доктора Веба». Он устанавливает на устройства произвольные платные приложения без разрешения пользователя. «Насколько можно судить, участие в партнерских программах, которые платят за установку,— один из основных источников дохода для создателей данного семейства»,— уточнил представитель компании. Кроме того, вирус может устанавливать и другой вредоносный софт.
Особенность нового трояна в том, что он защищен от удаления, утверждают в «Докторе Вебе».
При этом он сам удаляет некоторые предустановленные приложения, возможно, чтобы освободить место, а также избавляется от приложений для управления root-правами, таким образом лишая пользователя возможности удалить троянские компоненты, установленные в системный раздел, рассказал представитель компании. Чтобы избавиться от вируса, нужно заменить операционную систему, заявили в «Докторе Вебе», отметив, что другими способами удалить вредоносную программу «можно, но очень сложно».
В компаниях «Ростелеком-Солар» и Positive Technologies не сообщают об обнаружении этой версии вируса. Заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин отметил, что за троянами семейства Android.Xiny эксперты наблюдают уже давно, начиная с 2015 года, и новые их модификации с расширенным функционалом появляются регулярно. Если учесть, что Android.Xiny впервые был обнаружен в 2016 году и совершенствуется до сих пор, можно предположить, что сумма ущерба от него сегодня исчисляется миллионами рублей, отметил ведущий специалист группы исследования угроз Positive Technologies Денис Кувшинов. В Google не предоставили комментариев.
В целом семейство троянов для Android входит в топ-20 киберугроз за 2019 год, отметили в «Лаборатории Касперского».
Среди последних угроз этого семейства, отмеченных компанией, троян, который показывает пользователям рекламные баннеры. По словам антивирусного эксперта «Лаборатории Касперского» Виктора Чебышева, заражение вирусом, по всей вероятности, происходило путем модификации прошивки устройства на пути между заводом-изготовителем и покупателем смартфона.
Это не редкость — некоторые смартфоны низкой ценовой категории поставляются с уже предустановленным вредоносным софтом, причем зачастую на системном уровне, что не позволяет удалить его штатными средствами, утверждает технический директор Trend Micro в России и СНГ Михаил Кондрашин. По словам Сергея Никитина, безопасными сейчас можно считать версии Android 9.0 и выше с патчами безопасности на ноябрь 2019 года.