Поиск
Дополнительное меню

Новости ИТ-бизнеса для Профессионалов

22 октября : воскресенье

Курсы

USD ЦБ РФ 20/10 57.5706 +0.2985
EUR ЦБ РФ 20/10 67.9333 +0.5756
EUR/USD 20/10 1.1800 +0.0039

Android.Loki.16.origin заражает системные библиотеки ОС Android

09.12.2016 12:43

Эксперты компании «Доктор Веб» обнаружили нового представителя семейства троянцев Android.Loki, который, как и предыдущие версии вредоносов, внедряется в процессы различных приложений, в том числе системных, однако теперь для этого он заражает библиотеки ОС Android.

Многокомпонентный троянец Android.Loki.16.origin незаметно загружает и устанавливает ПО на мобильные устройства под управлением ОС Android. Троянец сначала загружается на мобильные устройства, затем соединяется с управляющим сервером и скачивает с него вредоносный компонент Android.Loki.28, а также несколько эксплойтов для получения root-доступа. Все эти файлы сохраняются в рабочий каталог троянца. Далее Android.Loki.16.origin поочередно выполняет эксплойты и после успешного повышения системных привилегий запускает на исполнение модуль Android.Loki.28.

В свою очередь, Android.Loki.28 после запуска монтирует раздел /system на запись, получая возможность вносить изменения в системные файлы. Затем он извлекает из себя дополнительные компоненты Android.Loki.26 и Android.Loki.27 и помещает их в системные каталоги /system/bin/ и /system/lib/ соответственно. Далее вредонос внедряет в одну из системных библиотек зависимость от троянского компонента Android.Loki.27. После модификации библиотеки вредоносный модуль Android.Loki.27 привязывается к ней и запускается каждый раз, когда ее задействует операционная система.

После того как Android.Loki.27 начинает работу, он запускает на исполнение вредоносный модуль Android.Loki.26. Его старт выполняется только из системных процессов, работающих с правами root. Таким образом, Android.Loki.26 получает root-полномочия и может незаметно загружать, устанавливать и удалять приложения. С помощью этого модуля киберпреступники загружают на Android-устройства не только другие вредоносные программы, но и рекламные модули или безобидное ПО, получая доход от показа рекламы или накрутки счетчика установок определенных приложений.

Поскольку вредоносный модуль Android.Loki.27 изменяет системные компоненты, его удаление приведет к поломке зараженного мобильного устройства. При последующих включениях ОС Android не сможет нормально загрузиться, потому что не найдет в модифицированной библиотеке зависимость, соответствующую троянцу. Чтобы восстановить работу системы, устройство придется перепрошить, предварительно создав резервные копии важных данных.

Источник: @Astera

Смотри также: Безопасность

09 декабря