Новый Android-троянец, внесенный в вирусную базу компании «Доктор Веб» под именем Android.Elite.1.origin (http://vms.drweb.com/search/?q=Android.Elite.1.origin), является представителем весьма редкого типа вредоносных программ, относящихся к классу программ-вандалов. Такие вредоносные приложения обычно создаются вирусописателями не для получения каких-либо материальных выгод, а для доказательства своих навыков программирования, выражения своей точки зрения на те или иные события, либо с целью развлечения или хулиганства.

Очень часто подобные угрозы демонстрируют различные сообщения, портят пользовательские файлы и мешают нормальной работе зараженного оборудования. Именно так и действует новый Android-троянец, который распространяется под видом популярных приложений, таких, например, как игры.


https://ci6.googleusercontent.com/proxy/BWrzQ8JWlgiFzUws4ylAEw-V93feyy5f_Xo9J_cZiyoOgCVcmFywIt3qskxJQfZ9uNMSjHnX3 FZpg2CtS7PSwv91ET4lSCWc-67BolU=s0-d-e1-ft#http://st.drweb.com/static/new-www/vmsImg/elite_1.1.png (http://st.drweb.com/static/new-www/vmsImg/elite_1.png)

При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения.


https://ci4.googleusercontent.com/proxy/CQmN0INmi_QYZ_qiDsWaphmVyHK374WvexfAotHNpwKn_i2-7tW0k1GT6_OSsRR1VbAZutGf8XudLWfPzNy8FCxeX70wU6FyA4 DbvDk=s0-d-e1-ft#http://st.drweb.com/static/new-www/vmsImg/elite_2.1.png (http://st.drweb.com/static/new-www/vmsImg/elite_2.png)

Как только пользователь попытается запустить официальный клиент социальной сети Facebook, программу WhatsApp Messenger, Hangouts, либо стандартное системное приложение для работы с СМС-сообщениями, Android.Elite.1.origin блокирует их активное окно, демонстрируя на экране изображение с текстом OBEY or Be HACKED. При этом данная блокировка сохраняется только для указанных программ и не распространяется на прочие приложения или операционную систему в целом.


https://ci3.googleusercontent.com/proxy/cm4Ykk4yr0FsXPivczMijv8nmx3eAdwKZlb-b-Agi44oXIMTS9p7fzKq0w4OrPl22IkwRb3TnkIoN-c6fEBTTOvWVizHLwKsdhi5krs=s0-d-e1-ft#http://st.drweb.com/static/new-www/vmsImg/elite_3.1.png (http://st.drweb.com/static/new-www/vmsImg/elite_3.png)

Чтобы еще больше ограничить доступ пользователя к инструментам «мобильного» общения, троянец препятствует прочтению всех вновь поступающих СМС-сообщений, для чего скрывает от своей жертвы все оповещения о новых СМС. В то же время сами сообщения сохраняются и заботливо помещаются в раздел «Входящие», который, впрочем, остается недоступным из-за действующей блокировки.


Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам СМС со следующим текстом:


HEY!!! [имя контакта] Elite has hacked you.Obey or be hacked.


Кроме того, похожий текст отправляется в ответ на все входящие СМС, поступившие с действующих мобильных номеров других пользователей:


Elite has hacked you.Obey or be hacked.


Таким образом, счет мобильного телефона большинства пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды.