Android-трояны научились внедряться в системные процессы
05 фев 2016 14:20 #32869
от ICT
ICT создал тему: Android-трояны научились внедряться в системные процессы
В феврале 2016 г. специалисты компании «Доктор Веб» выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей. Об этом CNews сообщили в «Доктор Веб». Этот набор состоит из трех действующих совместно троянов, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой «Антивирусом Dr.Web для Android» под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов трояном Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троян может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin в «Доктор Веб» отметили следующие: установка и удаление приложений; включение и отключение приложений, а также их компонентов; остановка процессов; демонстрация уведомлений; регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства); обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера. Вторая вредоносная программа из обнаруженного аналитиками «Доктор Веб» комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троян и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию: IMEI инфицированного устройства; IMSI инфицированного устройства; mac-адрес инфицированного устройства; идентификатор MCC (Mobile Country Code) — мобильный код страны; идентификатор MNC (Mobile Network Code) — код мобильной сети; версия ОС на инфицированном устройстве; значение разрешения экрана; данные об оперативной памяти (общий объем и свободный объем); версия ядра ОС; данные о модели устройства; данные о производителе устройства; версия прошивки; серийный номер устройства. После отправки этой информации на управляющий сервер троян получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные: версия конфигурационного файла; версия сервиса, реализованного трояном Android.Loki.1.origin; язык операционной системы; страна, указанная в настройках операционной системы; информация о пользовательской учетной записи в сервисах Google. В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые трояном уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения: список установленных приложений; история браузера; список контактов пользователя; история звонков; текущее местоположение устройства. Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянов семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают трояну путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт. Поскольку трояны семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ оптимальный способ ликвидировать последствия заражения — перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации, а неопытным пользователям следует доверить эту манипуляцию специалисту, советуют в «Доктор Веб».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Трояны Android.Xiny научились внедряться в системные процессы | 42.83 | Вторник, 20 сентября 2016 |
Трояны научились воровать данные с помощью Telegram | 14.93 | Понедельник, 26 марта 2018 |
Новая версия трояна Android.Loki заражает системные библиотеки | 12.19 | Пятница, 09 декабря 2016 |
Смарт-часы на Android Wear научились взаимодействовать с iPhone | 10.81 | Вторник, 01 сентября 2015 |
Минцифры: биометрия для госуслуг должна внедряться в коммерческие экосистемы в 2022 году | 9.54 | Среда, 18 мая 2022 |
Системные требования VR-шлема Fove | 8.53 | Понедельник, 19 сентября 2016 |
Системные интеграторы на волне удачи | 8.53 | Четверг, 25 августа 2022 |
Microsoft обнародовала системные требования Windows 10 | 8.43 | Четверг, 23 июля 2015 |
Стали известны минимальные системные требования для Windows 10 | 8.34 | Четверг, 23 июля 2015 |
«ICL Системные Технологии» откроют в «Иннополисе» центр компетенции ИБ АСУ ТП | 8.34 | Пятница, 22 апреля 2016 |