Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Procesy systemowe Androida mogą być infekowane przez trojany

5 lutego 2016

Twórcy wirusów kontynuują komplikowanie architektury złośliwych programów dla Androida. Pierwsze ich przykłady miały dość nieskomplikowaną strukturę, ale ich dzisiejsze odpowiedniki są pod tym względem prawie równorzędne najbardziej wymyślnym trojanom dla Windows. W bieżącym miesiącu specjaliści Doctor Web zarejestrowali cały zestaw wielofunkcyjnych złośliwych programów dla Androida.

Zestaw ten składa się z trzech powiązanych ze sobą Trojanów, nazwanych odpowiednio Android.Loki.1.origin, Android.Loki.2.origin i Android.Loki.3. Pierwszy z nich jest uruchamiany z pomocą biblioteki liblokih.so, którą Dr.Web dla Androida wykrywa jako Android.Loki.6. Android.Loki.3 wbudowuje ją w jeden z procesów systemowych — tym samym Android.Loki.1.origin uzyskuje uprawnienia systemowe. Android.Loki.1.origin jest usługą, która potrafi wykonywać szeroki wachlarz funkcji. Przykładowo, potrafi pobrać aplikację z Google Play używając specjalnego linku wskazującego na konto użytkownika niektórych programów partnerskich zorientowanych na generowanie dochodów. Android.Loki.1.origin potrafi poza tym:

  • Pobierać i usuwać aplikacje
  • Włączać i wyłączać aplikacje i ich komponenty
  • Kończyć pracę procesów
  • Wyświetlać powiadomienia
  • Rejestrować dowolną aplikację jako aplikację Usługi Ułatwienia Dostępu (Accessibility Service)
  • Aktualizować swoje komponenty i pobierać wtyczki z serwera

Drugi komponent z tego zestawu — Android.Loki.2.origin — instaluje aplikacje na zainfekowanym urządzeniu i wyświetla reklamy. Oprócz tego, działa również jako program szpiegujący, ponieważ jest w stanie zbierać i wysyłać następujące informacje:

  • Identyfikator IMEI
  • Identyfikator IMSI
  • Adres MAC
  • Identyfikator MCC (Mobile Country Code)
  • Identyfikator MNC (Mobile Network Code)
  • Wersję systemu operacyjnego
  • Rozdzielczość ekranu
  • Informację o zainstalowanej i dostępnej w urządzeniu ilości pamięci RAM
  • Wersję jądra systemu operacyjnego
  • Model urządzenia
  • Nazwę producenta urządzenia
  • Wersję firmware
  • Numer seryjny urządzenia

Gdy tylko te informacje zostaną wysłane do serwera, trojan otrzymuje plik konfiguracyjny niezbędny do jego działania. W określonych okresach czasu Android.Loki.2.origin podłącza się do serwera w celu zaakceptowania otrzymywanych instrukcji i wysłania następujących informacji dotyczących:

  • Wersji pliku konfiguracyjnego
  • Wersji usługi dostarczanej przez Android.Loki.1.origin
  • Bieżących ustawień języka systemowego
  • Kraju
  • Informacji o koncie Google stworzonym przez użytkownika

Z kolei Android.Loki.2.origin otrzymuje polecenie instalacji aplikacji, która również może być pobrana z Google Play, lub polecenie wyświetlenia reklam. Jeśli użytkownik kliknie powiadomienia wyświetlone przez trojana, to może być przekierowany na strony www lub poproszony o zainstalowanie oprogramowania. Na skutek komendy odebranej od cyberprzestępców, Android.Loki.2.origin wysyła informacje dotyczące:

  • Listy zainstalowanych aplikacji
  • Historii przeglądarki
  • Listy kontaktów
  • Historii połączeń
  • Bieżącego położenia geograficznego

Android.Loki.3 potrafi osadzić bibliotekę liblokih.so w procesie system_server i wykonać komendy od innych trojanów z rodziny Android.Loki, używając uprawnień root’a. Tym samym Android.Loki.3 jest w rzeczywistości serwerem uruchamiającym skrypty powłoki — trojan otrzymuje ścieżkę do skryptu który wymaga uruchomienia, a Android.Loki.3 uruchamia ten skrypt.

Trojany Android.Loki zapisują niektóre swoje komponenty w folderach systemowych Android OS, do których Dr.Web nie ma dostępu. Tym samym, jeśli chcesz usunąć konsekwencje infekcji, powinieneś ponownie załadować firmware w swoim urządzeniu używając oryginalnego obrazu systemu operacyjnego. Jednakże, przed tym krokiem, powinieneś wykonać kopię zapasową wszystkich ważnych informacji zapisanych w Twoim urządzeniu. Niedoświadczonym użytkownikom zaleca się skontaktowanie się w tym celu ze specjalistą.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A