Новая версия трояна Android.Loki заражает системные библиотеки
09 дек 2016 12:20 #49646
от ICT
ICT создал тему: Новая версия трояна Android.Loki заражает системные библиотеки
Вирусные аналитики компании «Доктор Веб» обнаружили нового представителя семейства опасных троянов Android.Loki. Как и предыдущие версии, выявленная вредоносная программа внедряется в процессы различных приложений, в том числе системных, однако теперь для этого она заражает библиотеки ОС Android, сообщили CNews в «Доктор Веб». Вредоносная программа, получившая имя Android.Loki.16.origin, представляет собой многокомпонентного трояна. Она незаметно загружает и устанавливает ПО на мобильные устройства под управлением ОС Android. Троян заражает смартфоны и планшеты в несколько этапов. На первом этапе Android.Loki.16.origin загружается на мобильные устройства и запускается другими вредоносными программами. Затем он соединяется с управляющим сервером и скачивает с него вредоносный компонент Android.Loki.28, а также несколько эксплойтов для получения root-доступа. Все эти файлы сохраняются в рабочий каталог трояна. Далее Android.Loki.16.origin поочередно выполняет эксплойты и после успешного повышения системных привилегий запускает на исполнение модуль Android.Loki.28. В свою очередь, Android.Loki.28 после запуска монтирует раздел /system на запись, получая возможность вносить изменения в системные файлы. Затем он извлекает из себя дополнительные вредоносные компоненты Android.Loki.26 и Android.Loki.27 и помещает их в системные каталоги /system/bin/ и /system/lib/ соответственно. Далее вредоносная программа внедряет в одну из системных библиотек зависимость от троянского компонента Android.Loki.27. После модификации библиотеки вредоносный модуль Android.Loki.27 привязывается к ней и запускается каждый раз, когда ее задействует операционная система. На изображениях ниже представлен пример изменений, которые выполняет вредоносная программа:
После того как Android.Loki.27 начинает работу, он запускает на исполнение вредоносный модуль Android.Loki.26. Его старт выполняется только из системных процессов, работающих с правами root. Таким образом, Android.Loki.26 получает root-полномочия и может незаметно загружать, устанавливать и удалять приложения. С помощью этого модуля киберпреступники загружают на Android-устройства не только другие вредоносные программы, но и рекламные модули или безобидное ПО, получая доход от показа назойливой рекламы или накрутки счетчика установок определенных приложений, пояснили в «Доктор Веб». Поскольку вредоносный модуль Android.Loki.27 изменяет системные компоненты, его удаление приведет к поломке зараженного мобильного устройства. При последующих включениях ОС Android не сможет нормально загрузиться, потому что не найдет в модифицированной библиотеке зависимость, соответствующую трояну. Чтобы восстановить работу системы, устройство придется перепрошить. Поскольку все персональные файлы при этом будут удалены, перед прошивкой рекомендуется создать резервные копии важных данных и по возможности обратиться к специалисту. По утверждению компании, антивирусные продукты Dr.Web для Android распознают все известные модификации троянов семейства Android.Loki. Ссылка на источник
После того как Android.Loki.27 начинает работу, он запускает на исполнение вредоносный модуль Android.Loki.26. Его старт выполняется только из системных процессов, работающих с правами root. Таким образом, Android.Loki.26 получает root-полномочия и может незаметно загружать, устанавливать и удалять приложения. С помощью этого модуля киберпреступники загружают на Android-устройства не только другие вредоносные программы, но и рекламные модули или безобидное ПО, получая доход от показа назойливой рекламы или накрутки счетчика установок определенных приложений, пояснили в «Доктор Веб». Поскольку вредоносный модуль Android.Loki.27 изменяет системные компоненты, его удаление приведет к поломке зараженного мобильного устройства. При последующих включениях ОС Android не сможет нормально загрузиться, потому что не найдет в модифицированной библиотеке зависимость, соответствующую трояну. Чтобы восстановить работу системы, устройство придется перепрошить. Поскольку все персональные файлы при этом будут удалены, перед прошивкой рекомендуется создать резервные копии важных данных и по возможности обратиться к специалисту. По утверждению компании, антивирусные продукты Dr.Web для Android распознают все известные модификации троянов семейства Android.Loki. Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Зафиксирована новая версия трояна Xsser mRAT, способная заражать iOS-устройства | 18.47 | Воскресенье, 21 декабря 2014 |
Новая версия Google Maps 9.19 для Android | 15.4 | Среда, 13 января 2016 |
Новая версия WorksPad 2.5 для устройств на базе iOS 9 и Android 6.0 | 15.23 | Среда, 11 ноября 2015 |
Вышла новая версия Dr.Web Security Space для Android | 15.23 | Четверг, 15 декабря 2016 |
Представлена новая версия мессенджера Viber 6.9.5. для Android и iOS | 15.23 | Среда, 14 июня 2017 |
Вышла новая версия приложения «Афиша-Рестораны» для Android | 15.07 | Пятница, 16 октября 2015 |
Новая версия Android получит поддержку выреза для фронтальной камеры в безрамочных смартфонах | 14.6 | Вторник, 13 февраля 2018 |
«Доктор Веб»: троянец на Android-устройствах заражает приложения и скачивает вредоносные модули | 12.64 | Четверг, 27 июля 2017 |
Android-трояны научились внедряться в системные процессы | 12.46 | Пятница, 05 февраля 2016 |
Трояны Android.Xiny научились внедряться в системные процессы | 12.33 | Вторник, 20 сентября 2016 |