A telepítés után a kártevő egy hamis ‘Saving Battery’ szolgáltatást hoz létre az Android rendszerben, és arra kéri a felhasználót, hogy engedélyezzen kritikus hozzáférést bizonyos funkciókhoz (tevékenységadatok, ablaktartalmak lekérdezése, illetve a felfedezés érintéssel funkció). Amint a kártevő megkapta a működéséhez szükséges engedélyeket, képessé válik a felhasználó tevékenységének utánzására, vagyis onnantól az eszköz képernyőjén bármire “rányomhat” a program, bármit csinálhat a mi bevonásunk nélkül.

ESET

Érdekesség, hogy tevékenysége közben – mikor például adatainkat lopja el – a kártevő az alábbi képet jeleníti meg a kijelzőn. Ezzel eltakarva a szemünk elől azt, amit a háttérben ügyködik.

ESET / Sicontact

A fertőzés legárulkodóbb jele a ‘Saving Battery’ (akkumulátorvédelem) nevű szolgáltatás (service) megjelenése a rendszerben. Ez arra kéri a felhasználókat, hogy a beállítási lehetőségek között kapcsolják be ezt az opciót. A fertőzés eltávolítása történhet egy megfelelő mobilvédelmi megoldás használatával, de az alkalmazás manuálisan is törölhető a Beállítások -> Alkalmazáskezelő -> Flash-Player útvonalat követve.

Néhány esetben a felhasználókat megtévesztve készülékadminisztrátori jogokat szerez az alkalmazásnak a kártevő. Ebben az esetben először deaktiválni kell az adminisztrátori jogosultságot a Beállítások -> Biztonság -> Flash-Player opció kiválasztásával, és csak ezután nyílik lehetőség a program eltávolítására.

Az ESET szakemberei szerint csupán a letöltő program letörlésével még nem töröljük a kártevő által telepített további fertőzött alkalmazásokat, így ha valaki fertőzést észlelt, érdemes egy profit antivíus alkalmazást feltenni a telefonra, és lefuttatni egy teljes körű vizsgálatot.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.