In de firmware van verschillende Android-toestellen hebben onderzoekers een Trojaans paard ontdekt dat programma's kan downloaden, installeren en verwijderen zonder dat gebruikers dit doorhebben en inkomende sms-berichten van bepaalde nummers kan blokkeren. Het gaat om firmware die door gebruikers zelf of dubieuze handelaren is geïnstalleerd.

Volgens het Russische anti-virusbedrijf Doctor Web is de hoofdmodule van de malware digitaal gesigneerd door het besturingssysteem en beschikt het daardoor over alle noodzakelijke rechten om de activiteiten zonder toestemming van de gebruiker uit te voeren. De aanwezigheid in de firmware maakt het daarnaast lastig om de malware te verwijderen.

De malware wordt actief zodra het toestel wordt ingeschakeld of een nieuw sms-bericht ontvangt. Vervolgens downloadt Becu, zoals het Trojaanse paard heet, verschillende modules die voor de werking vereist zijn. Mocht de gebruiker deze modules verwijderen, dan worden ze door de hoofdmodule weer teruggezet. Doctor Web zegt dat de malware in de firmware van goedkope toestellen is aangetroffen, waaronder de UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 en ALPS H9500.

De geïnfecteerde firmware zou door nietsvermoedende gebruikers zijn geïnstalleerd of door leveranciers die wel van de malware weten. Omdat de malware onderdeel van het besturingssysteem is, is het verwijderen van Becu "extreem lastig", aldus het anti-virusbedrijf. Naast het "bevriezen" van de malware kan die ook worden verwijderd via een rootaccount op het toestel of het installeren van schone firmware.