Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył nową wersję trojanów Android.Loki infekujących biblioteki systemowe

9 grudnia 2016

Analitycy bezpieczeństwa Doctor Web wykryli nowych reprezentantów rodziny trojanów Android.Loki, malware zaraportowanego po raz pierwszy w lutym 2016. Tak jak poprzednie wersje, ten trojan wstrzykuje sam siebie w procesy różnych aplikacji, włączając również te systemowe; jednakże ta wersja potrafi również infekować biblioteki systemu Android.

Trojan, nazwany Android.Loki.16.origin, to wielokomponentowy złośliwy program który w skrycie pobiera i instaluje oprogramowanie na urządzeniach z Androidem. Proces infekcji przebiega w kilku krokach.

W pierwszym kroku inne złośliwe programy pobierają i uruchamiają Android.Loki.16.origin na urządzeniu mobilnym. Następnie trojan łączy się z serwerem kontrolno-zarządzającym i pobiera dodatkowy komponent Android.Loki.28; pobiera również kilka exploitów w celu pozyskania uprawnień root’a. Wszystkie te pliki są zapisywane w folderze trojana. Android.Loki.16.origin wykonuje exploity jeden po drugim, a gdy jego uprawnienia zostaną podniesione, uruchamia moduł Android.Loki.28.

Uruchomiony, Android.Loki.28 montuje sekcję /system, żeby proces zapisujący mógł przeprowadzić zmiany w plikach systemowych. Następnie wypakowuje ze swojego pliku dodatkowe złośliwe komponenty Android.Loki.26 i Android.Loki.27 i zapisuje je do katalogów systemowych, odpowiednio /system/bin/ i /system/lib/. Następnie trojan wstrzykuje zależności z Android.Loki.27 do jednej z bibliotek systemowych. Gdy biblioteka zostanie zmodyfikowana, Android.Loki.27 przywiązuje do niej siebie samego i uruchamia się za każdym razem, gdy system operacyjny używa tej biblioteki. Poniższa ilustracja pokazuje przykład zmian wprowadzonych przez trojana:

Doctor Web discovers new versions of Android.Loki that infect system libraries #drweb Doctor Web discovers new versions of Android.Loki that infect system libraries #drweb

Gdy Android.Loki.27 rozpocznie swoje działanie, uruchamia Android.Loki.26 wyłącznie z procesów systemowych używających uprawnień root’a. Tym samym Android.Loki.26 uzyskuje podniesione uprawnienia i potrafi w skrycie pobierać nie tylko złośliwe programy, ale również moduły reklamowe i niegroźne aplikacje, generując nielegalne dochody z reklam i powiększając statystyki pobrań.

Z chwilą gdy Android.Loki.27 zmodyfikuje komponenty systemu, jego usunięcie może doprowadzić urządzenie do stanu niezdatności do normalnej pracy. Z chwilą ponownego włączenia urządzenia system Android nie uruchomi się normalnie, ponieważ nie będzie mógł znaleźć w zmodyfikowanej bibliotece zależności pochodzących od trojana. Aby ponownie umożliwić normalną pracę urządzenia, należy zaktualizować jego firmware, ale jest to proces który usunie wszystkie osobiste pliki użytkownika. Przed przeprowadzeniem aktualizacji posiadacz urządzenia powinien utworzyć kopie zapasowe wszystkich swoich ważnych danych i, jeśli jest to możliwe, skontaktować się ze specjalistą wsparcia technicznego.

Dr.Web dla Androida z powodzeniem usuwa wszystkie znane trojany należące do rodziny Android.Loki, nie stanowią one więc żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A