Android.Gmobi.1 — троянская программа, распространяется на Android-устройствах. Официально позиционируется как SDK-пакет специализированных утилит для расширения функционала телефона (дистанционное обновление прошивки, сбор данных, показ уведомлений). Устанавливается некоторыми разработчиками в прошивки (интегрирован в ОС Android по умолчанию). Также вирус был обнаружен в приложениях TrendMicro Dr.Safety и Dr.Booster, доступных для скачивания в маркете Google Play. Но после оповещения разработчики удалили его из дистрибутивов и выпустили новые версии продуктов без модуля Gmobi.1.
Как действует вирус?
В заражённом Android-девайсе вирус при подключении к интернету отправляет на «родной» сервер имеющиеся в системе конфиденциальные данные:
- текущее географическое местоположение устройства (определяет по GPS или данным мобильного оператора);
- наличие/отсутствие роуминга, приложения Google Play;
- учётные данные, подключенных профилей;
- технические данные девайса (RAM, процессор, дисплей).
В ответ на отправленную «депешу» сервер отсылает вирусу указания к действиям в виде набора скриптов в формате JSON. Он включает следующие директивы:
- загрузить и проинсталлировать в Android дополнительные apk-модули посредством стандартного диалога либо скрытно;
- на основе действий пользователя в Сети подобрать рекламу, которая потенциально может его заинтересовать;
- создать ярлык рекламного ПО на домашнем экране устройства;
- показать уведомления с рекламой и скриптами запуска уже установленных в систему приложений.
Далее вирус действует согласно инструкциям из полученного файла.
Отображает рекламу:
- в панелях уведомлений;
- в диалоговых окнах (в том числе и в интерактивных, в которых по нажатию кнопки отправляются с телефона платные СМС);
- в специальных баннерах, открывающихся поверх системного интерфейса и окон других приложений;
- на веб-страницах в браузере (открывает заданные URL);
- в приложении Google Play.
Автоматически загружает и запускает без ведома пользователя в системе сторонние приложения. И тем самым за «накрутку» загрузок приносит прибыль своим «хозяевам» — злоумышленникам, распространяющим вирусный модуль в Сети.
Как удалить зловреда?
Можно удалить Android.Gmobi.1 посредством антивируса Dr.Web с подключёнными рут-правами, но лишь в том случае, если он не находится в системных папках.
Примечание. Перед тем как выполнять нижеследующую инструкцию, убедитесь в том, что на устройстве есть рут-права. Эта настройка активируется при помощи специальных приложений — SuperSU, RootBooster, SuperUser и др. Выберите в маркете Google Play наиболее приемлемое решение для вашего девайса.
1. Откройте приложение Google Play.
2. В поисковой строке маркета наберите — Dr.Web.
3. В выдаче по запросу тапните панель «Dr.Web Light» (бесплатная версия антивируса, при помощи которой можно удалить трояна).
4. Нажмите «Установить».
5. По окончании инсталляции тапните «Открыть».
6. В окне «Лицензионное соглашение» выберите «Принять».
7. Обновите вирусную базу (нажмите в перечне соответствующий раздел).
8. По завершении апдейта перейдите в раздел «Сканер».
9. Выберите тип сканирования «Полная проверка».
10. Удалите обнаруженные элементы троянца.
Если Gmobi.1 интегрирован в системные файлы, необходимо установить новую версию прошивки (запросить у производителя либо скачать с доверенного сайта). В противном случае без инфицированных системных файлов, удалённых антивирусом, система потеряет работоспособность.
Успешной вам борьбы с вирусом-трояном Gmobi.1!
Добавить комментарий