Лисин Алексей

Специалисты компании «Доктор Веб» выявили на самом деле целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей. Этот набор состоит из трех действующих разительно совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно.

Первый из них загружается с помощью библиотеки liblokih.so, детектируемой под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system.

Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: в самом деле например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin стоит отметить установку и удаление приложений, включение и отключение приложений, а также их компонентов, остановку процессов, демонстрацию уведомлений, регистрацию приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства), обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.

Android.Loki.2.origin предназначен для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам IMEI, IMSI и mac-адрес инфицированного устройства, идентификатор MCC, идентификатор MNC, версию ОС на инфицированном устройстве, значение разрешения экрана, взаправду данные об оперативной памяти (общий и свободный объем), версию ядра ОС, на самом деле данные о модели устройства, о производителе устройства, версию прошивки, а также сильно серийный номер устройства.

После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи по-моему дополнительно передает злоумышленникам версию конфигурационного файла, версию сервиса, реализованного троянцем Android.Loki.1.origin, язык операционной системы, страну, указанную в настройках операционной системы, информацию о пользовательской учетной записи в сервисах Google. В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения.

Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Надо признаться фактически, он играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт.

Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый более оптимальный способ ликвидировать последствия заражения — перепрошить устройство с использованием оригинального образа ОС.

astera.ru