Android-троянцы научились внедряться в системные процессы

Александр Панасенко 05 Февраля 2016 - 13:22

Общее

Android

Вредоносные программы

Трояны

Утечки информации

Шпионские программы

...

Android-троянцы научились внедряться в системные процессы

Архитектура вредоносных программ для мобильной платформы Android усложняется с каждым годом: если первые троянцы для этой системы представляли собой довольно примитивные приложения, то нынешние порой не уступают по сложности даже самым изощренным Windows-троянцам.

В феврале 2016 года специалисты компании «Доктор Веб» выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей.

Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой Антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход, сообщает news.drweb.ru. Среди других возможностей Android.Loki.1.origin стоит отметить следующие:

установка и удаление приложений;
включение и отключение приложений, а также их компонентов;
остановка процессов;
демонстрация уведомлений;
регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.

Вторая вредоносная программа из обнаруженного аналитиками «Доктор Веб» комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию:

IMEI инфицированного устройства;
IMSI инфицированного устройства;
mac-адрес инфицированного устройства;
идентификатор MCC (Mobile Country Code) — мобильный код страны;
идентификатор MNC (Mobile Network Code) — код мобильной сети;
версия ОС на инфицированном устройстве;
значение разрешения экрана;
данные об оперативной памяти (общий объем и свободный объем);
версия ядра ОС;
данные о модели устройства;
данные о производителе устройства;
версия прошивки;
серийный номер устройства.

После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:

версия конфигурационного файла;
версия сервиса, реализованного троянцем Android.Loki.1.origin;
язык операционной системы;
страна, указанная в настройках операционной системы;
информация о пользовательской учетной записи в сервисах Google.

В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения:

список установленных приложений;
история браузера;
список контактов пользователя;
история звонков;
текущее местоположение устройства.

Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, иAndroid.Loki.3 запускает этот скрипт.

Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации, а неопытным пользователям следует доверить эту манипуляцию специалисту.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Яков Шпунт 09 Июня 2026 - 15:53

Корпорации «Группа Астра»Аладдин

ГК Астра и Аладдин объединили доменное управление и PKI в Astra Server Core

ГК «Астра» и компания «Аладдин» объявили о стратегическом партнёрстве и представили комплексное решение Astra Server Core со встроенными средствами управления доменной инфраструктурой и центром сертификации Aladdin Enterprise CA (eCA). Продукт предназначен для управления сложными гетерогенными ИТ-инфраструктурами, объединяющими рабочие станции, серверы и другие устройства на различных программных платформах — как отечественных, так и зарубежных.

Как рассказал на пресс-конференции, посвящённой подписанию соглашения, директор серверного ПО «Группы Астра» Алексей Фоменко, первоначально компании планировали объявить о партнёрстве на конференции ЦИПР-2026, проходившей в мае.

Однако, по его словам, среди большого количества анонсов это событие могло остаться незамеченным, поэтому его решили вынести в отдельную повестку спустя несколько недель после завершения форума.

Алексей Фоменко напомнил, что во времена доминирования Microsoft на рынке инфраструктурного ПО решения вендора были частью единого технологического стека, что обеспечивало высокий уровень управляемости инфраструктуры.

После ухода компании с российского рынка и начала масштабного импортозамещения многие организации столкнулись с серьёзными сложностями. Для решения различных задач внедрялись продукты разных российских разработчиков, при этом часть систем на базе Windows продолжала использоваться. В результате в ряде компаний сформировалась разрозненная инфраструктура и так называемая лоскутная модель информационной безопасности.

К 2025–2026 годам у многих российских заказчиков сформировался запрос на платформенные решения, построенные на базе отечественных технологий. Это, в свою очередь, стимулировало создание технологических альянсов между разработчиками, одним из которых стало партнёрство ГК «Астра» и компании «Аладдин».

При разработке совместного решения стороны стремились обеспечить не только совместимость продуктов на момент запуска, но и её сохранение после обновлений. Ещё одной задачей стало создание безопасной инфраструктуры, готовой к использованию «из коробки».

Как отметил генеральный директор компании «Аладдин» Сергей Груздев, многие заказчики сегодня эксплуатируют гетерогенные инфраструктуры, в которых одновременно используются отечественные и зарубежные решения. При этом необходимо обеспечивать как безопасность, так и непрерывность работы систем, избегая появления единых точек отказа. По его словам, при построении подобных архитектур безопасность должна оставаться приоритетом, а функциональность — следовать за ней.

В состав Astra Server Core входят Astra Linux Server, служба каталогов ALD Pro, менеджер конфигураций ACM и корпоративный центр сертификации Aladdin Enterprise CA. В дальнейшем разработчики планируют дополнить платформу средствами защищённой групповой работы, модулем доверенной загрузки, инструментами многофакторной аутентификации и шифрования данных.

Astra Server Core уже доступна для предварительного заказа. Начало продаж запланировано на третий квартал 2026 года.

«Для инфраструктуры корпоративного уровня критически важен компонент, которого нам до сих пор не хватало, — полноценная PKI-инфраструктура. У компании "Аладдин" накоплена одна из самых глубоких экспертиз в этой области и сформирован широкий портфель решений. Это позволяет заказчикам не собирать доверенную архитектуру по частям и не сталкиваться с проблемами совместимости компонентов на протяжении жизненного цикла системы. Объединяя нашу серверную платформу с компетенциями "Аладдина" в области PKI, мы создаём решение, которого рынок ждал с момента ухода Microsoft. Это безопасная инфраструктура, где управление пользователями, устройствами и сертификатами работает как единая система», — отметил Алексей Фоменко.

«Чтобы доверие и безопасность стали фундаментом, а не надстройкой, они должны быть встроены в системное и инфраструктурное ПО, а проектирование ИТ-инфраструктуры должно начинаться с безопасной архитектуры. Объединив наши компетенции в области информационной безопасности с инфраструктурной экспертизой "Группы Астра", мы интегрировали PKI непосредственно в основу экосистемы. В результате заказчики получают комплексное решение, которое позволяет изначально строить защищённую и управляемую инфраструктуру», — прокомментировал Сергей Груздев.

К слову, в новом выпуске AM Подкаст разобрали, почему рынок переходит от отдельных продуктов к платформенным решениям, как стратегический альянс «Группы Астра» и «Аладдин» меняет подход к построению ИТ-инфраструктуры и почему заказчики больше не хотят быть интеграторами собственного «зоопарка» решений.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!