Android-троянцы стали внедряться в системные процессы
Компания Google регулярно улучшает защиту операционной системы Android, но при этом и злоумышленники не сидят без дела, постоянно усложняя архитектуру вредоносных программ. Если первые троянцы были достаточно примитивными и не представляли особой угрозы, то теперь они не уступают самым продвинутым вирусам, которые есть для Windows. В начале этого месяца специалисты компании «Доктор Веб» обнаружили набор опасных троянцев для Android, которые могут серьёзно навредить пользователям. Набор состоит трёх действующих совместно вирусов, которых сотрудники «Доктор Веб» назвали Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3.
Вирус Android.Loki.1.origin загружается с помощью библиотеки liblokih.so, детектируемой антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций. Например, он может скачать из Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin стоит отметить следующие:
- установка и удаление приложений;
- включение и отключение приложений, а также их компонентов;
- остановка процессов;
- демонстрация уведомлений;
- регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
- обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.
Android.Loki.2.origin устанавливается на заражённое устройство по команде с управляющего сервера и может использоваться для демонстрации рекламы. Кроме этого, этот троянец при запуске собирает и отправляет злоумышленникам следующую информацию:
- IMEI инфицированного устройства;
- IMSI инфицированного устройства;
- mac-адрес инфицированного устройства;
- идентификатор MCC (Mobile Country Code) — мобильный код страны;
- идентификатор MNC (Mobile Network Code) — код мобильной сети;
- версия ОС на инфицированном устройстве;
- значение разрешения экрана;
- данные об оперативной памяти (общий объем и свободный объем);
- версия ядра ОС;
- данные о модели устройства;
- данные о производителе устройства;
- версия прошивки;
- серийный номер устройства.
После отправки всех перечисленных выше данных на удалённый сервер троянец получает конфигурационный файл, содержащий необходимые для его работы данные. Через определённые промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:
- версия конфигурационного файла;
- версия сервиса, реализованного троянцем Android.Loki.1.origin;
- язык операционной системы;
- страна, указанная в настройках операционной системы;
- информация о пользовательской учетной записи в сервисах Google.
В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения, либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде хакеров Android.Loki.2.origin отсылает на удалённый сервер следующие сведения:
- список установленных приложений;
- история браузера;
- список контактов пользователя;
- история звонков;
- текущее местоположение устройства.
Третий троянец Android.Loki.3 выполняет на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, а Android.Loki.3 запускает этот скрипт.
Так как троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусов нет доступа, то при обнаружении на устройстве любого из этих вирусов единственным способом избавиться от них является перепрошивка устройства с использованием оригинального образа операционной системы.
Источник: 4pda.ru
© 4PDA