Android-трояны получили возможность внедряться в системные процессы

image

Теги: вредоносное ПО, Android

Специалисты "Доктор Веб" обнаружили набор вредоносов, способный внедряться в работу операционной системы.

Специалисты компании «Доктор Веб» обнаружили комплект новых троянов для Android, способный внедряться в системные процессы мобильной ОС. Набор состоит из трех действующих совместно вирусов Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3.

Инфицирование системы набором троянов происходит следующим образом:

  • Отдельная вредоносная библиотека liblokih.so (Android.Loki.6) загружает на систему Android.Loki.1.origin;

  • Android.Loki.3 внедряет в один из системных процессов Android.Loki.6;

  • После инфицирования системного процесса Android.Loki.1.origin получает привилегии системы.

Android.Loki.1.origin внедряется в систему в виде отдельной службы. Троян может загружать с Google Play приложения с помощью специальной реферальной ссылки, позволяя вирусописателям получать доход за установку программ.

Android.Loki.1.origin также обладает следующими функциями:

  • установка и удаление приложений;

  • включение и отключение отдельных компонентов или целых приложений;

  • остановка процессов;

  • показ уведомлений;

  • регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);

  • обновление компонентов и загрузка плагинов по команде с C&C-сервера.

Второй троян преимущественно устанавливает на устройство различные приложения по команде с C&C-сервера и отображает рекламные объявления. Вирус также обладает функционалом шпионского ПО – Android.Loki.2.origin собирает и отправляет злоумышленникам следующие данные:

  • IMEI, IMSI и MAC-адрес инфицированного устройства;

  • идентификаторы MCC и MNC;

  • версия ОС;

  • разрешение экрана;

  • общий и свободный объем ОЗУ и ПЗУ;

  • версия ядра ОС;

  • данные о модели и производителе устройства;

  • версия прошивки;

  • серийный номер устройства.

После отправки информации на C&C-сервер троян загружает конфигурационный файл, содержащий необходимые для работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к C&C-серверу для получения заданий и передает дополнительную информацию:

  • версия конфигурационного файла;

  • версия сервиса, реализованного трояном Android.Loki.1.origin;

  • язык операционной системы;

  • страна, указанная в настройках операционной системы;

  • информация о пользовательской учетной записи в сервисах Google.

В ответ Android.Loki.2.origin получает задание на установку приложения либо на отображение рекламы. Также по команде злоумышленников троян передает на C&C-сервер следующие сведения:

  • список установленных приложений;

  • история браузера;

  • список контактов пользователя;

  • история звонков;

  • текущее местоположение устройства.

Android.Loki.3 выполняет две функции на инфицированном устройстве. Вирус внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя. Фактически, Android.Loki.3 исполняет роль сервера для выполнения сценариев командной строки.

Поскольку вирусы семейства Android.Loki размещают часть компонентов в системных папках, для полной очистки устройства понадобится перепрошить устройство, используя оригинальный образ ОС.


или введите имя

CAPTCHA