Android.Gmobi.1, bo taką nazwę otrzymał szkodnik, został zaprojektowany jako wyspecjalizowany pakiet programowy (SDK), który jest używany przez producentów urządzeń mobilnych i twórców oprogramowania.
Moduł ten potrafi zdalnie aktualizować system operacyjny, zbierać informacje i wyświetlać powiadomienia, włączając przy tym reklamy. Szkodnik posiada również możliwość wykonywania płatności mobilnych.
Firma Doctor Web tłumaczy, że zachowanie wirusa jest typowe dla programu reklamowego i właśnie w taki sposób jest oznaczane przez autorskie oprogramowanie antywirusowe.
Trojan oprócz firmware smartfonów, zaatakował również popularne aplikacje z Google Play, takie jak Trend Micro Dr.Safety, Dr.Booster czy Asus WebStorage. Producenci tego oprogramowania zostali już poinformowani o problemie. Aplikacje Dr.Safety i Dr.Booster zostały już zaktualizowane.
Android.Gmobi.1 został zaprojektowany w celu zbierania prywatnych informacji i wysyłania ich na zdalny serwer. Mogą to być wiadomości e-mail użytkownika, dane o dostępności roamingu, współrzędne GPS lub sieci mobilnej, informacje o urządzeniu, położenie geograficzne użytkownika czy obecność w urządzeniu aplikacji Google Play.
W odpowiedzi serwer przesyła komunikaty aktywujące reklamy. Wirus może również zdalnie instalować wybrane pliki APK.
Źródło: Doctor Web