Исследователи из ИБ-компании «Доктор Веб» обнаружили боекомплект из трех Android-троянцев, совокупно реализующих широкий спектр функций и способных внедряться в системные процессы — свойство, необычное для мобильных зловредов. Новым вредоносным приложениям были присвоены имена Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 (защитные решения «Лаборатории Касперского» детектируют это трио с вердиктом HEUR:Trojan.AndroidOS.Loki.a).

Как показал анализ, Android.Loki.1.origin загружается с помощью библиотеки liblokih.so (антивирус Dr.Web детектирует ее как Android.Loki.6), работает как системная служба и обеспечивает доход операторам, скачивая с Google Play приложения в рамках партнерских программ. По свидетельству «Доктор Веб», он также умеет устанавливать, удалять, включать и выключать приложения, регистрировать их как Accessibility Service, останавливать процессы, демонстрировать уведомления, обновлять свои компоненты и по команде загружать дополнительные плагины.

Основное назначение Android.Loki.2.origin — установка приложений и показ рекламы. Этот троянец также способен самостоятельно собирать и отправлять на C&C-сервер информацию об устройстве (IMEI, IMSI, MAC-адрес, серийный номер, модель, производитель, MCC, MNC, версия ОС, разрешение экрана и т.п.), а по команде — список установленных приложений, историю браузера, список контактов жертвы, историю звонков и текущее местоположение устройства.

Android.Loki.3 выполняет на зараженном устройстве две задачи: внедряет liblokih.so в системный процесс system_server и позволяет выполнять команды, подаваемые другими Android.Loki, с правами root. Эксперты пояснили: по сути, этот троянец «играет роль сервера для выполнения шелл-скриптов», запуская требуемый сценарий, путь к которому указывает оператор.

«Доктор Веб» также предупреждает: некоторые компоненты Android.Loki размещаются в системных папках, недоступных для антивируса, посему избавиться от них можно лишь перепрошивкой.

Категории: Аналитика, Вредоносные программы, Главное