• Home
  • RSS-Feed

GoogleZone.ru

Все о Google. Поиск, сервисы, программы.

Android-троянцы научились внедряться в системные процессы

17.05.2016 at 13:38 | Android | admin

evil-android-malware

Архитектура вредоносных программ для мобильной платформы Android усложняется с каждым годом: если первые троянцы для этой системы представляли собой довольно примитивные приложения, то нынешние порой не уступают по сложности даже самым изощренным Windows-троянцам. В феврале 2016 г. специалисты компании «Доктор Веб» выявили целый комплект вредоносных приложений для ОС Android, обладающих широким спектром функциональных возможностей.

Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.I.origin, Android.Loki.2.origin и Android. Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой Антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android. Loki.3 — в результате Android.Loki.I.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.I.origin представляет собой службу, обладающую богатым набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки,
содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход.

Вторая вредоносная программа из обнаруженного комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам определенную информацию, в том числе данные об оперативной памяти (общий объем и свободный объем), версии ядра ОС, данные о модели и производителе устройства, версию прошивки и серийный номер устройства.

Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя, которые поступают от других троянцев семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к скрипту, который следует выполнить, и Android.Loki.3 запускает этот скрипт.

Поскольку троянцы из семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, доступ к которым у анти-вирусной программы отсутствует, при обнаружении на устройстве любой из подобных вредоносных программ оптимальным способом ликвидировать последствия заражения является перепрошивка устройства с использованием оригинального образа ОС.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Реклама

© GoogleZone.ru

|

Top