5 lutego 2016

Twórcy wirusów kontynuują komplikowanie architektury złośliwych programów dla Androida. Pierwsze ich przykłady miały dość nieskomplikowaną strukturę, ale ich dzisiejsze odpowiedniki są pod tym względem prawie równorzędne najbardziej wymyślnym trojanom dla Windows. W bieżącym miesiącu specjaliści Doctor Web zarejestrowali cały zestaw wielofunkcyjnych złośliwych programów dla Androida.

Zestaw ten składa się z trzech powiązanych ze sobą Trojanów, nazwanych odpowiednio Android.Loki.1.origin, Android.Loki.2.origin i Android.Loki.3. Pierwszy z nich jest uruchamiany z pomocą biblioteki liblokih.so, którą Dr.Web dla Androida wykrywa jako Android.Loki.6. Android.Loki.3 wbudowuje ją w jeden z procesów systemowych — tym samym Android.Loki.1.origin uzyskuje uprawnienia systemowe. Android.Loki.1.origin jest usługą, która potrafi wykonywać szeroki wachlarz funkcji. Przykładowo, potrafi pobrać aplikację z Google Play używając specjalnego linku wskazującego na konto użytkownika niektórych programów partnerskich zorientowanych na generowanie dochodów. Android.Loki.1.origin potrafi poza tym:

• Pobierać i usuwać aplikacje
• Włączać i wyłączać aplikacje i ich komponenty
• Kończyć pracę procesów
• Wyświetlać powiadomienia
• Rejestrować dowolną aplikację jako aplikację Usługi Ułatwienia Dostępu (Accessibility Service)
• Aktualizować swoje komponenty i pobierać wtyczki z serwera

Drugi komponent z tego zestawu — Android.Loki.2.origin — instaluje aplikacje na zainfekowanym urządzeniu i wyświetla reklamy. Oprócz tego, działa również jako program szpiegujący, ponieważ jest w stanie zbierać i wysyłać następujące informacje:

• Identyfikator IMEI
• Identyfikator IMSI
• Adres MAC
• Identyfikator MCC (Mobile Country Code)
• Identyfikator MNC (Mobile Network Code)
• Wersję systemu operacyjnego
• Rozdzielczość ekranu
• Informację o zainstalowanej i dostępnej w urządzeniu ilości pamięci RAM
• Wersję jądra systemu operacyjnego
• Model urządzenia
• Nazwę producenta urządzenia
• Wersję firmware
• Numer seryjny urządzenia

Gdy tylko te informacje zostaną wysłane do serwera, trojan otrzymuje plik konfiguracyjny niezbędny do jego działania. W określonych okresach czasu Android.Loki.2.origin podłącza się do serwera w celu zaakceptowania otrzymywanych instrukcji i wysłania następujących informacji dotyczących:

• Wersji pliku konfiguracyjnego
• Wersji usługi dostarczanej przez Android.Loki.1.origin
• Bieżących ustawień języka systemowego
• Kraju
• Informacji o koncie Google stworzonym przez użytkownika

Z kolei Android.Loki.2.origin otrzymuje polecenie instalacji aplikacji, która również może być pobrana z Google Play, lub polecenie wyświetlenia reklam. Jeśli użytkownik kliknie powiadomienia wyświetlone przez trojana, to może być przekierowany na strony www lub poproszony o zainstalowanie oprogramowania. Na skutek komendy odebranej od cyberprzestępców, Android.Loki.2.origin wysyła informacje dotyczące:

• Listy zainstalowanych aplikacji
• Historii przeglądarki
• Listy kontaktów
• Historii połączeń
• Bieżącego położenia geograficznego

Android.Loki.3 potrafi osadzić bibliotekę liblokih.so w procesie system_server i wykonać komendy od innych trojanów z rodziny Android.Loki, używając uprawnień root’a. Tym samym Android.Loki.3 jest w rzeczywistości serwerem uruchamiającym skrypty powłoki — trojan otrzymuje ścieżkę do skryptu który wymaga uruchomienia, a Android.Loki.3 uruchamia ten skrypt.

Trojany Android.Loki zapisują niektóre swoje komponenty w folderach systemowych Android OS, do których Dr.Web nie ma dostępu. Tym samym, jeśli chcesz usunąć konsekwencje infekcji, powinieneś ponownie załadować firmware w swoim urządzeniu używając oryginalnego obrazu systemu operacyjnego. Jednakże, przed tym krokiem, powinieneś wykonać kopię zapasową wszystkich ważnych informacji zapisanych w Twoim urządzeniu. Niedoświadczonym użytkownikom zaleca się skontaktowanie się w tym celu ze specjalistą.