Стало известно о появлении новой вариации зловреда Android.Locki для мобильных устройств. Android.Loki впервые дал о себе знать еще в феврале, но текущая версия, которую обнаружили вирусные аналитики Dr. Web, заражает системные библиотеки Android.

Android.Loki — это многокомпонентный троянец, заражающий устройство в несколько этапов. Сначала он загружается на девайс, потом его запускает вредоносная программа. С первым запуском зловред устанавливает коммуникацию с сервером атаки и скачивает вредоносный компонент Android.Loki.28 и ряд эксплойтов, необходимых для получения root-доступа. Выполнив эксплойты, троянец повышает привилегии и запускает модуль Android.Loki.28.

После запуска Android.Loki.28 модифицирует системный раздел /system, разрешая запись файлов. Таким образом зловред получает возможность вносить изменения в системные файлы. Locky извлекает дополнительные компоненты Android.Loki.26 и Android.Loki.27, чтобы разместить их в каталогах /system/bin/ и /system/lib/. После модификации библиотеки модуль Android.Loki.27 привязывается к ней и запускается каждый раз, когда к ней обращается операционная система.

Android.Loki.27, в свою очередь, запускает вредоносный модуль Android.Loki.26 из системных процессов, предполагающих root-доступ. Android.Loki.26 таким образом повышает привилегии до root, получая способность без ведома пользователя загружать, устанавливать и удалять приложения, как вредоносные, так и рекламные. Последние, например, позволяют злоумышленникам зарабатывать на показе рекламы или накрутке счетчика установок определенных приложений. Пока результатом заражения Loki является только назойливая реклама, но, если новая версия будет использоваться для доставки и установки банкеров или вымогателей, зловред превратится в серьезную проблему.

К большому сожалению для пользователей, избавиться от Loki не так просто. Вредоносный модуль Android.Loki.27 очень глубоко внедряется в системные компоненты — одна из критических системных библиотек при модификации имеет зависимость от троянца, и если ОС Android при загрузке не найдет эту зависимость в библиотеке, то не сможет загрузиться, что приведет к неисправности устройства. Чтобы восстановить работоспособность девайса, придется его перепрошить, потеряв при этом все данные.

Категории: Аналитика, Вредоносные программы