Архитектура зловредов для Андроид становится все труднее

Андроид 4.0 ICS

Эксперты компании «Врач Интернет» обнаружили целый набор вредных дополнений для ОС Андроид, владеющих широким диапазоном многофункциональных перспектив. Данный комплект состоит из 3-х работающих вместе троянцев, принявших названия Андроид.Loki.1.origin, Андроид.Loki.2.origin и Андроид.Loki.3 как следствие.

Первый из них грузится при помощи библиотеки liblokih.so, детектируемой под названием Андроид.Loki.6. Данная библиотека вводится в один из системных действий троянцем Андроид.Loki.3 — в итоге Андроид.Loki.1.origin приобретает вероятность действовать в системе с прерогативами клиента систем.

Андроид.Loki.1.origin представляет из себя службу, владеющую обширным комплектом функций: к примеру, троянец может скачать из формального ассортимента Гугл Плей любое дополнение при помощи дополнительной сноски, сохраняющей распоряжение на учетную запись какой-то партнерской платформы, из-за чего мошенники приобретают вероятность получать доход. Среди прочих перспектив Андроид.Loki.1.origin необходимо отметить установку и удаление дополнений, подключение и отключение дополнений, и их элементов, приостановку действий, демонстрацию извещений, регистрацию дополнений как Accessibility Service (службы, отслеживающей нажатия на дисплей устройства), восстановление собственных элементов, и закачка плагинов по команде с правящего компьютера.

Андроид.Loki.2.origin назначен для установки на инфицированное устройство разных дополнений по команде с правящего компьютера, и для презентации рекламы. Но владеет данный троянец и разведывательными функциями — при запуске он собирает и посылает злодеям IMEI, IMSI и mac-адрес зараженного устройства, личный номер MCC, личный номер MNC, версию ОС на инфицированном устройстве, значение разрешения монитора, данные об материнской платы (суммарный и свободный размер), версию ядра ОС, данные о модификации устройства, о изготовителе устройства, версию прошивки, и серийник устройства.

После отправки данной информации на правящий компьютер троянец приобретает в ответ конфигурационный документ, имеющий нужные для его работы данные. Через некоторые интервалы времени Андроид.Loki.2.origin обращается к правящему компьютеру для принятия заданий и в процессе любого сеанса связи специально сообщает злодеям версию конфигурационного документа, версию обслуживания, реализованного троянцем Андроид.Loki.1.origin, язык ОС, страну, обозначенную в опциях ОС, информацию о пользовательской учетной записи в сервисах Google. В ответ Андроид.Loki.2.origin приобретает поручение или на установку того либо другого дополнения (они и в том числе могут загружаться из ассортимента Гугл Плей), или на отражение рекламы. Нажатие на демонстрируемые троянцем извещения может привести или к проходу на установленный веб-сайт, или к установке дополнения.

Андроид.Loki.3 реализует на инфицированном устройстве 2 функции: вводит библиотеку liblokih.so в процесс системной службы system_server и дает возможность делать команды от имени суперпользователя (root), которые поступают от прочих троянцев рода Андроид.Loki. Практически, он играет роль компьютера для проведения шелл-скриптов: киберпреступники передают троянцу маршрут к сценарию, который необходимо осуществить, и Андроид.Loki.3 пускает данный script.

Так как троянцы рода Андроид.Loki располагают часть собственных элементов в системных папках ОС Андроид, к которым у противовирусной платформы нет доступа, при обнаружении на устройстве любой из подобных вредных программ самый подходящий метод устранять результаты инфицирования — перепрошить устройство с применением необычного вида ОС.






Leave a Reply

Ваш email адрес не будет опубликован. Обязательные поля обозначены как *

*