Android-троянцы в системных процессах
По сообщению компании «Доктор Веб», ее специалисты выявили целый комплект вредоносных приложений для ОС Android с широким спектром функциональных возможностей. Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3.
Первый из них загружается с помощью библиотеки liblokih.so, детектируемой Антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3, и в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу с широким набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, что позволяет злоумышленникам извлекать доход.
В числе других возможностей Android.Loki.1.origin:
- установка и удаление приложений;
- включение и отключение приложений, а также их компонентов;
- остановка процессов;
- демонстрация уведомлений;
- регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
- обновление своих компонентов, загрузка плагинов по команде с управляющего сервера.
Вторая вредоносная программа из комплекта – Android.Loki.2.origin – предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Троянец выполняет и шпионские функции – при запуске он собирает и отправляет злоумышленникам следующую информацию:
- IMEI, IMSI и mac-адрес инфицированного устройства;
- идентификаторы MCC (Mobile Country Code) и MNC (Mobile Network Code);
- версия ОС на инфицированном устройстве и версия ядра ОС;
- разрешение экрана;
- данные об оперативной памяти (общий объем и свободный объем);
- данные о модели и производителе устройства;
- версия прошивки;
- серийный номер устройства.
После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:
- версия конфигурационного файла;
- версия сервиса, реализованного троянцем Android.Loki.1.origin;
- язык ОС;
- страна, указанная в настройках ОС;
- информация о пользовательской учетной записи в сервисах Google.
В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. По команде Android.Loki.2.origin также отсылает на управляющий сервер список установленных приложений, историю браузера и звонков, список контактов пользователя и текущее местоположение устройства.
Наконец, Android.Loki.3 реализует две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт.
Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ лучший способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на устройстве важной информации.