Мир: Android-трояны получили возможность внедряться в системные процессы

0

Специалисты компании “Доктор Веб” обнаружили комплект новых троянов для Android, способный внедряться в системные процессы мобильной ОС. Набор состоит из трех действующих совместно вирусов Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3. Инфицирование системы набором троянов происходит следующим образом:

Отдельная вредоносная библиотека liblokih.so (Android.Loki.6) загружает на систему Android.Loki.1.origin;

Android.Loki.3 внедряет в один из системных процессов Android.Loki.6;

После инфицирования системного процесса Android.Loki.1.origin получает привилегии системы.

Android.Loki.1.origin внедряется в систему в виде отдельной службы. Троян может загружать с Google Play приложения с помощью специальной реферальной ссылки, позволяя вирусописателям получать доход за установку программ.

Android.Loki.1.origin также обладает следующими функциями:

установка и удаление приложений;

включение и отключение отдельных компонентов или целых приложений;

остановка процессов;

показ уведомлений;

регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);

обновление компонентов и загрузка плагинов по команде с C&C-сервера.

Второй троян преимущественно устанавливает на устройство различные приложения по команде с C&C-сервера и отображает рекламные объявления. Вирус также обладает функционалом шпионского ПО – Android.Loki.2.origin собирает и отправляет злоумышленникам следующие данные:

IMEI, IMSI и MAC-адрес инфицированного устройства;

идентификаторы MCC и MNC;

версия ОС;

разрешение экрана;

общий и свободный объем ОЗУ и ПЗУ;

версия ядра ОС;

данные о модели и производителе устройства;

версия прошивки;

серийный номер устройства.

После отправки информации на C&C-сервер троян загружает конфигурационный файл, содержащий необходимые для работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к C&C-серверу для получения заданий и передает дополнительную информацию:

версия конфигурационного файла;

версия сервиса, реализованного трояном Android.Loki.1.origin;

язык операционной системы;

страна, указанная в настройках операционной системы;

информация о пользовательской учетной записи в сервисах Google.

В ответ Android.Loki.2.origin получает задание на установку приложения либо на отображение рекламы. Также по команде злоумышленников троян передает на C&C-сервер следующие сведения:

список установленных приложений;

история браузера;

список контактов пользователя;

история звонков;

текущее местоположение устройства.

Android.Loki.3 выполняет две функции на инфицированном устройстве. Вирус внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя. Фактически, Android.Loki.3 исполняет роль сервера для выполнения сценариев командной строки. Поскольку вирусы семейства Android.Loki размещают часть компонентов в системных папках, для полной очистки устройства понадобится перепрошить устройство, используя оригинальный образ ОС. (Dr.Web/NovostIT)