Android-трояны получили возможность внедряться в системные процессы

Специалисты "Доктор Веб" обнаружили набор вредоносов, способный внедряться в работу операционной системы.
Специалисты компании «Доктор Веб» обнаружили комплект новых троянов для Android, способный внедряться в системные процессы мобильной ОС. Набор состоит из трех действующих совместно вирусов Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3.
Инфицирование системы набором троянов происходит следующим образом:

• Отдельная вредоносная библиотека liblokih.so (Android.Loki.6) загружает на систему Android.Loki.1.origin;
• Android.Loki.3 внедряет в один из системных процессов Android.Loki.6;
• После инфицирования системного процесса Android.Loki.1.origin получает привилегии системы.

Android.Loki.1.origin внедряется в систему в виде отдельной службы. Троян может загружать с Google Play приложения с помощью специальной реферальной ссылки, позволяя вирусописателям получать доход за установку программ.
Android.Loki.1.origin также обладает следующими функциями:

• установка и удаление приложений;
• включение и отключение отдельных компонентов или целых приложений;
• остановка процессов;
• показ уведомлений;
• регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
• обновление компонентов и загрузка плагинов по команде с C&C-сервера.

Второй троян преимущественно устанавливает на устройство различные приложения по команде с C&C-сервера и отображает рекламные объявления. Вирус также обладает функционалом шпионского ПО – Android.Loki.2.origin собирает и отправляет злоумышленникам следующие данные:

• IMEI, IMSI и MAC-адрес инфицированного устройства;
• идентификаторы MCC и MNC;
• версия ОС;
• разрешение экрана;
• общий и свободный объем ОЗУ и ПЗУ;
• версия ядра ОС;
• данные о модели и производителе устройства;
• версия прошивки;
• серийный номер устройства.

После отправки информации на C&C-сервер троян загружает конфигурационный файл, содержащий необходимые для работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к C&C-серверу для получения заданий и передает дополнительную информацию:

• версия конфигурационного файла;
• версия сервиса, реализованного трояном Android.Loki.1.origin;
• язык операционной системы;
• страна, указанная в настройках операционной системы;
• информация о пользовательской учетной записи в сервисах Google.

В ответ Android.Loki.2.origin получает задание на установку приложения либо на отображение рекламы. Также по команде злоумышленников троян передает на C&C-сервер следующие сведения:

• список установленных приложений;
• история браузера;
• список контактов пользователя;
• история звонков;
• текущее местоположение устройства.

Android.Loki.3 выполняет две функции на инфицированном устройстве. Вирус внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя. Фактически, Android.Loki.3 исполняет роль сервера для выполнения сценариев командной строки.
Поскольку вирусы семейства Android.Loki размещают часть компонентов в системных папках, для полной очистки устройства понадобится перепрошить устройство, используя оригинальный образ ОС.