Android-трояны получили возможность внедряться в системные процессы

Специалисты компании «Доктор Веб» обнаружили комплект новых троянов для Android, способный внедряться в системные процессы мобильной ОС. Набор состоит из трех действующих совместно вирусов Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3.

Инфицирование системы набором троянов происходит следующим образом:

• Отдельная вредоносная библиотека liblokih.so (Android.Loki.6) загружает на систему Android.Loki.1.origin;

• Android.Loki.3 внедряет в один из системных процессов Android.Loki.6;

• После инфицирования системного процесса Android.Loki.1.origin получает привилегии системы.

Android.Loki.1.origin внедряется в систему в виде отдельной службы. Троян может загружать с Google Play приложения с помощью специальной реферальной ссылки, позволяя вирусописателям получать доход за установку программ.

Android.Loki.1.origin также обладает следующими функциями:

• установка и удаление приложений;

• включение и отключение отдельных компонентов или целых приложений;

• остановка процессов;

• показ уведомлений;

• регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);

• обновление компонентов и загрузка плагинов по команде с C&C-сервера.

Второй троян преимущественно устанавливает на устройство различные приложения по команде с C&C-сервера и отображает рекламные объявления. Вирус также обладает функционалом шпионского ПО – Android.Loki.2.origin собирает и отправляет злоумышленникам следующие данные:

• IMEI, IMSI и MAC-адрес инфицированного устройства;

• идентификаторы MCC и MNC;

• версия ОС;

• разрешение экрана;

• общий и свободный объем ОЗУ и ПЗУ;

• версия ядра ОС;

• данные о модели и производителе устройства;

• версия прошивки;

• серийный номер устройства.

После отправки информации на C&C-сервер троян загружает конфигурационный файл, содержащий необходимые для работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к C&C-серверу для получения заданий и передает дополнительную информацию:

• версия конфигурационного файла;

• версия сервиса, реализованного трояном Android.Loki.1.origin;

• язык операционной системы;

• страна, указанная в настройках операционной системы;

• информация о пользовательской учетной записи в сервисах Google.

В ответ Android.Loki.2.origin получает задание на установку приложения либо на отображение рекламы. Также по команде злоумышленников троян передает на C&C-сервер следующие сведения:

• список установленных приложений;

• история браузера;

• список контактов пользователя;

• история звонков;

• текущее местоположение устройства.

Android.Loki.3 выполняет две функции на инфицированном устройстве. Вирус внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя. Фактически, Android.Loki.3 исполняет роль сервера для выполнения сценариев командной строки.

Поскольку вирусы семейства Android.Loki размещают часть компонентов в системных папках, для полной очистки устройства понадобится перепрошить устройство, используя оригинальный образ ОС.