I principali segni del software malevolo nell'area di sistema:
- La comparsa ripetuta delle stesse minacce negli stessi percorsi, anche dopo la rimozione tramite l'antivirus. Le minacce di solito riappaiono dopo il riavvio del dispositivo.
- Avvisi in Auditor di sicurezza Dr.Web.
A causa di caratteristiche dell'implementazione del sistema operativo Android, è impossibile sbarazzarsi di un trojan nell'area di sistema tramite gli strumenti standard di QUALSIASI antivirus in quanto su un dispositivo senza root l'antivirus, come qualsiasi altra app, non dispone di permessi amministrativi: Dr.Web può rilevare i programmi malevoli entrati nell'area di sistema, ma non ha i permessi per rimuoverli. Per essi (come per qualsiasi app installata) è anche non disponibile l'opzione In quarantena.
Per eliminare tali vulnerabilità nel firmware e le minacce in /system, alcune applicazioni di sistema possono essere terminate e disattivate. Questo non elimina completamente la minaccia, ma la neutralizza fino a quando non potrà essere completamente rimossa.
Per terminare il funzionamento di un'applicazione: nella lista delle applicazioni installate sulla schermata Impostazioni → App selezionare l'applicazione identificata come minaccia, dopodiché sulla schermata con informazioni su di essa premere il pulsante Termina.
Questa azione dovrà essere ripetuta dopo ogni riavvio del dispositivo.
Per disattivare un'applicazione: nella lista delle applicazioni installate sulla schermata Impostazioni → App selezionare l'applicazione identificata come minaccia, dopodiché sulla schermata con informazioni su di essa premere il pulsante Disattiva.
Se sul dispositivo sono disponibili i permessi di root (i permessi di superutente che permettono di apportare qualsiasi modifica, tra le altre cose anche al firmware), e l'applicazione può essere disinstallata senza compromettere l'operatività del dispositivo o curata, si vedrà l'opzione corrispondente nell'interfaccia dell'antivirus.
Con i permessi di root si può inoltre provare a rimuovere le applicazioni malevole utilizzano utility speciali di terze parti.
L'impostazione dei permessi di root in alcuni casi può comportare la negazione di assistenza in garanzia per il dispositivo da parte del produttore.
Se sul dispositivo è installato un firmware personalizzato, è possibile ritornare al software ufficiale del produttore del dispositivo in autonomo o contattando un centro di assistenza. Se si utilizza il software ufficiale del produttore del dispositivo, provare a contattare l'azienda produttrice per ricevere ulteriori informazioni su questa applicazione.
Se il produttore consiglia di aggiornare il firmware, eseguire il backup di tutti i dati utente prima dell'aggiornamento, e quindi eseguire l'operazione di ripristino delle impostazioni di fabbrica.
Per disattivare l'avviso sulle minacce in applicazioni di sistema che non possono essere rimosse senza compromettere l'operatività del dispositivo, spuntare il flag Applicazioni di sistema nella sezione Impostazioni → Impostazioni generali → Opzioni avanzate.
Vi consigliamo inoltre di leggere l'edizione dedicata a questo argomento «System business» del progetto «The Anti-virus Times». Le cause di firmware compromesso dai trojan sono riportate nell'edizione «Firmly rooted».