Чтобы вирус заразил устройство, его владелец должен самостоятельно осуществить установку вредоносной программы. Однако пользователь часто не замечает подвоха, поскольку думает, что устанавливает безобидную программу.
После установки вирус соединяется с узлом управления для передачи информации о мобильном устройстве. Одновременно осуществляется попытка повысить свои права до root, для чего применяется модифицированный хакерский инструмент com.apkol.root. Если повышение привилегий проходит успешно, в системную папку устанавливается программа NetworkProvider.apk (изначально хранится в теле троянской программы), после чего запускается соответствующий системный сервис.
Утилита NetworkProvider.apk содержит еще один компонент вируса, который детектируется как Android.Toorch.2.origin. Модуль загружается в ОЗУ (используется класс DexClassLoader) и после успешного запуска загружает с сервера конфигурационный файл, который и определяет дальнейший функционал вредоносной программы. Кроме прочего, утилита способна удалять или устанавливать программы, причем происходит это без подтверждения со стороны пользователя (благодаря root-доступу).
В Android.Toorch.1.origin также встроена рекламная система Adware.Avazu.1.origin, которая отображает навязчивую рекламу на дисплее. Особенность вируса заключается в том, что он устанавливает модули в системную папку, которая исключена из списка сканирования в процессе быстрого сканирования антивирусом. Даже после деинсталляции исходной программы-фонарика, установленные им вредоносные модули остаются на диске, продолжая скрытно функционировать. Специалисты рекомендуют при выявлении данного троянца сразу провести полную проверку системы.
«Доктор Веб» разработала специальную утилиту, которая помогает быстро удалить все дополнительные модули Android.Toorch.1.origin. Пострадавшему достаточно загрузить полезную программу, установить ее и следовать дальнейшим инструкциям. Разработчики отмечают, что после удаления вируса root-права также становятся недоступны – при необходимости их требуется получать заново.