Вредоносные программы семейства Xiny для Android способны заражать процессы системных приложений и загружать вредоносные плагины в зараженные программы, предупреждают исследователи Доктор Веб.
Эксперты , что эти вредоносы были разработаны с целью загрузки и удаления различных программ с устройств, этот функционал требует привилегии рута. После получения этих привилегий, троян может тихо скачать и установить на устройство любое приложение и отображать назойливую рекламу.
Трояны Xiny появились в марте 2015 года и распространяются через популярные веб-сайты и даже официальные магазины приложений. Эти вредоносные программы имеют неизменный APK-файл, который предназначен для защиты от удаления.
Недавное улучшение функционала, которое получили зловреды этого семейства представляет собой способность внедряться в системные приложения , что позволяет им запускать различные вредоносные плагины. Один из троянов этого семейства - Android.Xiny.60 извлекает несколько вредоносных компонентов (/xbin/igpi; /lib/igpld.so; /lib/igpfix.so; and /framework/igpi.jar) и копирует их в системные каталоги.
Вредоносная программа использует модуль igpi, чтобы внедриться в системные процессы Google Play (com.android.vending) и Google Play Services (com.google.android.gms, co.google.android.gms.persistent). Кроме того, вредоносный модуль может быть введен в процесс Zygote.
После заражения процесса Zygote, троян может отслеживать запуск новых приложений и может внедрять вредоносный модуль igpi.jar (Android.Xiny.60) в них.
Такой принцип не является чем-то новым, ранее в этом году такой функционал был замечен в Android-трояне Triada. Поскольку процесс Zygote содержит системные библиотеки и структуры, которые используют почти все приложения, Triada был в состоянии работать в каждом приложении на устройстве.
Вредоносный модуль igpi.jar был разработан для загрузки плагинов и их запуска в зараженной среде. Он также может передавать различную информацию об устройстве в командный центр, например: IMEI, IMSI, MAC-адрес сетевого адаптера, версию операционной системы, модель мобильного устройства, текущий системный язык и имя пакета прикладных программ.
Вредоносные плагины работают как часть зараженного приложения, говорят исследователи. Они могут загрузить модуль программного обеспечения, перехватывать и отправлять сообщения, заразить банковскую программу, красть конфиденциальную информацию, например, логины, пароли, номера кредитных карт и т.д., и даже тайно перевести деньги на счет киберпреступников.
Государственные YouTube-каналы Беларуси, включая БЕЛТА, ОНТ и СТВ, 3 апреля были удалены с платформы. В белорусском Мининформе этот шаг оценили резко негативно и назвали его недружественным и безосновательным.
Об этом сообщило агентство БЕЛТА. Там же уточнили, что причиной названы санкции.
Ведомство заявило, что оставляет за собой право на ответные меры. БЕЛТА отдельно подчёркивает, что само агентство, по его версии, под санкциями не находится.
На этом фоне пользователям также посоветовали быть внимательнее: если на YouTube начнут появляться каналы с теми же названиями, это могут быть клоны. История уже вышла за рамки просто удаления страниц и быстро превращается ещё и в вопрос доверия к тому, что пользователи увидят вместо них.
Пока подробностей со стороны YouTube немного, но сама ситуация выглядит как очередной виток давления на государственные медиа Беларуси в зарубежных цифровых платформах.
Для аудитории это означает, что теперь придётся следить за тем, где появятся их новые площадки или зеркала.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
