Архитектура зловредов для Андроид становится все труднее
Эксперты компании «Врач Интернет» обнаружили целый набор вредных дополнений для ОС Андроид, владеющих широким диапазоном многофункциональных перспектив. Данный комплект состоит из 3-х работающих вместе троянцев, принявших названия Андроид.Loki.1.origin, Андроид.Loki.2.origin и Андроид.Loki.3 как следствие.
Первый из них грузится при помощи библиотеки liblokih.so, детектируемой под названием Андроид.Loki.6. Данная библиотека вводится в один из системных действий троянцем Андроид.Loki.3 — в итоге Андроид.Loki.1.origin приобретает вероятность действовать в системе с прерогативами клиента систем.
Андроид.Loki.1.origin представляет из себя службу, владеющую обширным комплектом функций: к примеру, троянец может скачать из формального ассортимента Гугл Плей любое дополнение при помощи дополнительной сноски, сохраняющей распоряжение на учетную запись какой-то партнерской платформы, из-за чего мошенники приобретают вероятность получать доход. Среди прочих перспектив Андроид.Loki.1.origin необходимо отметить установку и удаление дополнений, подключение и отключение дополнений, и их элементов, приостановку действий, демонстрацию извещений, регистрацию дополнений как Accessibility Service (службы, отслеживающей нажатия на дисплей устройства), восстановление собственных элементов, и закачка плагинов по команде с правящего компьютера.
Андроид.Loki.2.origin назначен для установки на инфицированное устройство разных дополнений по команде с правящего компьютера, и для презентации рекламы. Но владеет данный троянец и разведывательными функциями — при запуске он собирает и посылает злодеям IMEI, IMSI и mac-адрес зараженного устройства, личный номер MCC, личный номер MNC, версию ОС на инфицированном устройстве, значение разрешения монитора, данные об материнской платы (суммарный и свободный размер), версию ядра ОС, данные о модификации устройства, о изготовителе устройства, версию прошивки, и серийник устройства.
После отправки данной информации на правящий компьютер троянец приобретает в ответ конфигурационный документ, имеющий нужные для его работы данные. Через некоторые интервалы времени Андроид.Loki.2.origin обращается к правящему компьютеру для принятия заданий и в процессе любого сеанса связи специально сообщает злодеям версию конфигурационного документа, версию обслуживания, реализованного троянцем Андроид.Loki.1.origin, язык ОС, страну, обозначенную в опциях ОС, информацию о пользовательской учетной записи в сервисах Google. В ответ Андроид.Loki.2.origin приобретает поручение или на установку того либо другого дополнения (они и в том числе могут загружаться из ассортимента Гугл Плей), или на отражение рекламы. Нажатие на демонстрируемые троянцем извещения может привести или к проходу на установленный веб-сайт, или к установке дополнения.
Андроид.Loki.3 реализует на инфицированном устройстве 2 функции: вводит библиотеку liblokih.so в процесс системной службы system_server и дает возможность делать команды от имени суперпользователя (root), которые поступают от прочих троянцев рода Андроид.Loki. Практически, он играет роль компьютера для проведения шелл-скриптов: киберпреступники передают троянцу маршрут к сценарию, который необходимо осуществить, и Андроид.Loki.3 пускает данный script.
Так как троянцы рода Андроид.Loki располагают часть собственных элементов в системных папках ОС Андроид, к которым у противовирусной платформы нет доступа, при обнаружении на устройстве любой из подобных вредных программ самый подходящий метод устранять результаты инфицирования — перепрошить устройство с применением необычного вида ОС.
Схожие новости
Яценюк переводил авиаконцерн «Антонов»
Офис министров Украины решил устранять летный автоконцерн «Антонов». Про это докладывается на формальном веб-сайте МинистерстваЧитать далее
НАТО развивает войну с пропагандой РФ
Союз исследует вероятность не менее оперативного рассекречивания зрительной информации. НАТО будет применять военнослужащую стратегию вЧитать далее