Специалисты компании “Доктор Веб” обнаружили комплект новых троянов для Android, способный внедряться в системные процессы мобильной ОС. Набор состоит из трех действующих совместно вирусов Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3. Инфицирование системы набором троянов происходит следующим образом:
Отдельная вредоносная библиотека liblokih.so (Android.Loki.6) загружает на систему Android.Loki.1.origin;
Android.Loki.3 внедряет в один из системных процессов Android.Loki.6;
После инфицирования системного процесса Android.Loki.1.origin получает привилегии системы.
Android.Loki.1.origin внедряется в систему в виде отдельной службы. Троян может загружать с Google Play приложения с помощью специальной реферальной ссылки, позволяя вирусописателям получать доход за установку программ.
Android.Loki.1.origin также обладает следующими функциями:
установка и удаление приложений;
включение и отключение отдельных компонентов или целых приложений;
остановка процессов;
показ уведомлений;
регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
обновление компонентов и загрузка плагинов по команде с C&C-сервера.
Второй троян преимущественно устанавливает на устройство различные приложения по команде с C&C-сервера и отображает рекламные объявления. Вирус также обладает функционалом шпионского ПО – Android.Loki.2.origin собирает и отправляет злоумышленникам следующие данные:
IMEI, IMSI и MAC-адрес инфицированного устройства;
идентификаторы MCC и MNC;
версия ОС;
разрешение экрана;
общий и свободный объем ОЗУ и ПЗУ;
версия ядра ОС;
данные о модели и производителе устройства;
версия прошивки;
серийный номер устройства.
После отправки информации на C&C-сервер троян загружает конфигурационный файл, содержащий необходимые для работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к C&C-серверу для получения заданий и передает дополнительную информацию:
версия конфигурационного файла;
версия сервиса, реализованного трояном Android.Loki.1.origin;
язык операционной системы;
страна, указанная в настройках операционной системы;
информация о пользовательской учетной записи в сервисах Google.
В ответ Android.Loki.2.origin получает задание на установку приложения либо на отображение рекламы. Также по команде злоумышленников троян передает на C&C-сервер следующие сведения:
список установленных приложений;
история браузера;
список контактов пользователя;
история звонков;
текущее местоположение устройства.
Android.Loki.3 выполняет две функции на инфицированном устройстве. Вирус внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя. Фактически, Android.Loki.3 исполняет роль сервера для выполнения сценариев командной строки. Поскольку вирусы семейства Android.Loki размещают часть компонентов в системных папках, для полной очистки устройства понадобится перепрошить устройство, используя оригинальный образ ОС. (Dr.Web/NovostIT)