SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
8 Фев 2016

Новое семейство троянов для Android внедряется в системные процессы

Эксперты компании «Доктор Веб» сообщают, что угрозы для мобильных устройств становится все сложнее. Так, недавно специалистами компании был обнаружен набор троянов, которые действуют сообща, за счет чего получают широкий спектр функциональных возможностей.

Семейство малвари, атакующее устройства под управлением Android, состоит из трех вредоносов: Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3. Первый из них загружается с помощью библиотеки liblokih.so, под именем Android.Loki.6.

Данная библиотека внедряется в один из системных процессов ОС, используя для этого троян Android.Loki.3. Таким образом Android.Loki.1.origin получает возможность действовать с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троян может скачать из официального магазина Google Play любое приложение.

Для скачивания используется специальная ссылка, содержащая ID той или иной партнерской программы. Это позволяет злоумышленники зарабатывать на установке приложений деньги. Эксперты «Доктор Веб» сообщают, что также троян Android.Loki.1.origin способен:

  •     устанавливать и удалять приложения;
  •     включать и отключать приложения, а также их компоненты;
  •     останавливать процессы;
  •     отображать уведомления;
  •     регистрировать приложения как Accessibility Service (служба, отслеживающая нажатия на экран устройства);
  •     обновлять свои компоненты и загружать плагины по команде управляющего сервера.
     

Второй вредонос из обнаруженного «комплекта» — Android.Loki.2.origin предназначен для установки на зараженное устройство различных приложений по команде злоумышленников, а также для демонстрации рекламы. Но помимо этого троян обладает шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию:

  •     IMEI инфицированного устройства;
  •     IMSI инфицированного устройства;
  •     MAC-адрес инфицированного устройства;
  •     идентификатор MCC (Mobile Country Code) — мобильный код страны;
  •     идентификатор MNC (Mobile Network Code) — код мобильной сети;
  •     версия ОС на инфицированном устройстве;
  •     значение разрешения экрана;
  •     данные об оперативной памяти (общий объем и свободный объем);
  •     версия ядра ОС;
  •     данные о модели устройства;
  •     данные о производителе устройства;
  •     версия прошивки;
  •     серийный номер устройства.
     

Передав эти сведения на C&C сервер, в ответ малварь получает файл конфигурации, необходимый для дальнейшей работы. Через определенные промежутки времени Android.Loki.2.origin выходит на связь с управляющим сервером в ожидании команд. Во время каждого сеанса связи вредонос дополнительно передает злоумышленникам следующие данные:

  •     версия конфигурационного файла;
  •     версия сервиса, реализованного троянцем Android.Loki.1.origin;
  •     язык операционной системы;
  •     страна, указанная в настройках операционной системы;
  •     информация о пользовательской учетной записи в сервисах Google.
     

В ответ злоумышленники могут приказать Android.Loki.2.origin установить то или иное приложение, либо показать рекламу. Если жертва нажмет на вредоносное уведомление, это может привести к переходу на определенный сайт или к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения:

  •     список установленных приложений;
  •     история браузера;
  •     список контактов пользователя;
  •     история звонков;
  •     текущее местоположение устройства.
     

Последний, третий представитель семейства — Android.Loki.3 реализует на зараженном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянов «набора» Android.Loki.

По сути, третий вредонос играет роль сервера для выполнения шелл-скриптов: злоумышленники передают ему путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт. За счет того, что семейство Android.Loki внедряется глубоко в системную часть ОС, избавиться от этой малвари будет непросто. Фактически, поможет только полная перепрошивка гаджета.

Теги:
Android троян утечка информации
Источник:
Хакер
1722
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015