Android-троянцы научились внедряться в системные процессы

Архитектура вредоносных программ для мобильной платформы Androidinfo-icon усложняется с каждым годом: если первые троянцы для этой системы представляли собой довольно примитивные приложения, то нынешние порой не уступают по сложности даже самым изощренным Windows-троянцам.

В феврале 2016 года специалисты компании «Доктор Вебinfo-icon» выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей.

Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой Антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троянец может скачать из официального каталога Googleinfo-icon Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход, сообщает news.drweb.ru. Среди других возможностей Android.Loki.1.origin стоит отметить следующие:

  • установка и удаление приложений;
  • включение и отключение приложений, а также их компонентов;
  • остановка процессов;
  • демонстрация уведомлений;
  • регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
  • обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.

Вторая вредоносная программа из обнаруженного аналитиками «Доктор Веб» комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию:

  • IMEI инфицированного устройства;
  • IMSI инфицированного устройства;
  • mac-адрес инфицированного устройства;
  • идентификатор MCC (Mobile Country Code) — мобильный код страны;
  • идентификатор MNC (Mobile Network Code) — код мобильной сети;
  • версия ОС на инфицированном устройстве;
  • значение разрешения экрана;
  • данные об оперативной памяти (общий объем и свободный объем);
  • версия ядра ОС;
  • данные о модели устройства;
  • данные о производителе устройства;
  • версия прошивки;
  • серийный номер устройства.

После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:

  • версия конфигурационного файла;
  • версия сервиса, реализованного троянцем Android.Loki.1.origin;
  • язык операционной системы;
  • страна, указанная в настройках операционной системы;
  • информация о пользовательской учетной записи в сервисах Google.

В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения:

  • список установленных приложений;
  • история браузера;
  • список контактов пользователя;
  • история звонков;
  • текущее местоположение устройства.

Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, иAndroid.Loki.3 запускает этот скрипт.

Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации, а неопытным пользователям следует доверить эту манипуляцию специалисту.

Подпишитесь
в Facebook

Я уже с вами