Android-троянцы научились внедряться в системные процессы

Архитектура вирусов для популярной системы Android становится сложнее и функциональнее с каждым годом.

Первые вредоносные программы были очень примитивными, то современные угрозы часто не уступают по функциональности самым«продвинутым» вирусам для Windows.

В феврале компания «Доктор Веб» выявила и проанализировала целый комплект вирусов для Android, обладающих широким спектром возможностей.

Комплект состоит из трех взаимодействующих троянских программ, занесенных в базу как Android.Loki.3, Android.Loki.2.origin и Android.Loki.1.origin. Последний компонент загружается при помощи системной библиотеки liblokih.so (детектируется как Android.Loki.6).

Данная библиотека незаметно внедряется в важный системный процесс вирусом Android.Loki.3, что дает утилите Android.Loki.1.origin возможность функционировать в системе с привилегиями system.

 

Компонент является службой, которая обладает широким функционалом: к примеру, вредоносное приложение может загрузить из Google Play практически любую программу при помощи специальной ссылки.

Такая ссылка содержит параметры, указывающие на идентификатор в партнерской программе, что позволяет злоумышленникам получать доход. Из других возможностей можно отметить следующие:
установка, удаление, отключение и включение программ и отдельных компонентов;
демонстрация уведомлений;
остановка процессов;
обновление своих модулей.

Второе вредоносное приложение из набораAndroid.Loki.2.originсоздано для демонстрации рекламы и установки на устройство различных программ. Есть у компонента и шпионские функциипри активации утилита отправляет владельцам информацию об устройстве (аппаратные особенности, оператор, данные об операционной системе).

После получения данной информации о мобильном аппарате управляющий сервер присылает файл конфигурации, который используется вирусом для работы. Через определенный период вредоносная программа связывается с командным центром для получения новых инструкций.

В процессе таких сеансов связи также передается дополнительная информация об атакованном устройстве.

Android.Loki.3 используется для реализации двух функций: внедрение вышеупомянутой библиотеки liblokih.so в системную службу и выполнение различных команд от имени пользователя с максимальными привилегиями (root), которые периодически поступают от других троянских программ семейства Android.Loki.

 

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите свой комментарий!
Пожалуйста, введите свое имя здесь