Android-троянцы научились внедряться в системные процессы

Тема в разделе "Новости информационной безопасности", создана пользователем Phoenix, 6 фев 2016.

?

Каким антивирусом пользуетесь на android устройстве ?

  1. Касперский

    0 голосов
    0,0%
  2. Доктор Веб

    57,1%
  3. AVG

    0 голосов
    0,0%
  4. ESET

    0 голосов
    0,0%
  5. На android вирусов нет !

    0 голосов
    0,0%
  6. Никаким

    28,6%
  7. Каким то китайским..

    0 голосов
    0,0%
  8. Другой (укажите в теме)

    0 голосов
    0,0%
  9. Устройствами на android не пользуюсь совсем.

    0 голосов
    0,0%
  10. avast

    28,6%
Можно выбрать сразу несколько вариантов.
  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Android-троянцы научились внедряться в системные процессы
    5 февраля 2016 года


    Архитектура вредоносных программ для мобильной платформы Android усложняется с каждым годом: если первые троянцы для этой системы представляли собой довольно примитивные приложения, то нынешние порой не уступают по сложности даже самым изощренным Windows-троянцам. В феврале 2016 года специалисты компании «Доктор Веб» выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей.

    Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin,Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотекиliblokih.so, детектируемой Антивирусом Dr.Web для Android под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin стоит отметить следующие:

    • установка и удаление приложений;
    • включение и отключение приложений, а также их компонентов;
    • остановка процессов;
    • демонстрация уведомлений;
    • регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
    • обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.
    Вторая вредоносная программа из обнаруженного аналитиками «Доктор Веб» комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию:

    • IMEI инфицированного устройства;
    • IMSI инфицированного устройства;
    • mac-адрес инфицированного устройства;
    • идентификатор MCC (Mobile Country Code) — мобильный код страны;
    • идентификатор MNC (Mobile Network Code) — код мобильной сети;
    • версия ОС на инфицированном устройстве;
    • значение разрешения экрана;
    • данные об оперативной памяти (общий объем и свободный объем);
    • версия ядра ОС;
    • данные о модели устройства;
    • данные о производителе устройства;
    • версия прошивки;
    • серийный номер устройства.
    После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.originобращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные:

    • версия конфигурационного файла;
    • версия сервиса, реализованного троянцем Android.Loki.1.origin;
    • язык операционной системы;
    • страна, указанная в настройках операционной системы;
    • информация о пользовательской учетной записи в сервисах Google.
    В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения:

    • список установленных приложений;
    • история браузера;
    • список контактов пользователя;
    • история звонков;
    • текущее местоположение устройства.
    Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт.

    Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации, а неопытным пользователям следует доверить эту манипуляцию специалисту.
    <link>
    Добавлен в вирусную базу Dr.Web: 2016-02-02
    Описание добавлено: 2016-02-05

    SHA1:
    • 4af24c9f6815c8b0f5d0b44cc9040cdd7d828d96
    Троянец для мобильной платформы Google Android, исследованный образец представляет собой файл:

    /data/system/.loki/loki32
    Основное предназначение троянца — внедрение библиотеки liblokih.so в процесс system_server и выполнение команд от имени суперпользователя (root).

    Процесс loki32 запускается вместе с операционной системой и ожидает, пока она полностью загрузится. Затем троянец начинает последовательный просмотр папок в каталоге /proc, который содержит информацию о процессах, состоянии и конфигурации ядра и системы. Среди содержимого папки вредоносная программа ищет процесс, у которого в /proc/<pid>/cmdline будет установлено значение "system_server".

    Затем троянец получает относительные адреса функций, необходимых для осуществления инжекта:

    libcAddr = getAddressFromMaps(v1, "/system/lib/libc.so");
    linkerAddr = getAddressFromMaps(v0, "/system/bin/linker");
    mallocAddr = (int)&malloc - libcAddr;
    dlopenAddr = (int)&dlopen - linkerAddr;
    dlcloseAddr = (int)&dlclose - linkerAddr;
    dlsymAddr = (int)&dlsym - linkerAddr;
    dlerrorAddr = (int)&dlerror – linkerAddr.
    Функция getAddressFromMaps выполняет синтаксический разбор содержимого файла /proc/self/maps, содержащего карту памяти процесса, находит там первую строку, соответствующую нужной библиотеке, например:

    40020000-40065000 r-xp 00000000 1f:00 363 /system/lib/libc.so
    и извлекает оттуда первое число. Далее происходит сам инжект:

    inject(ss_pid, "/data/system/.loki/liblokih.so", "load_loki", "");
    Эта функция получает на вход значение PID процесса, в который будет выполнен инжект, путь к библиотеке, которую нужно загрузить, и имя функции в этой библиотеке, которую нужно вызвать. Сам процесс инжекта осуществляется с помощью системного вызова ptrace, возможности которого обычно используют отладчики. С помощью функции PTRACE_ATTACH процесс останавливается, троянец подключается к нему и получает доступ к чтению и изменению состояния памяти и регистров. Затем при помощи функции PTRACE_GETREGS в остановленном процессе троянец получает значения регистров и с помощью PTRACE_SETREGS изменяет их таким образом, чтобы выполнилась нужная функция. Затем процесс запускается снова с использованиемPTRACE_CONT.

    Кроме того, Android.Loki.3 может выполнять от имени суперпользователя (root) команды, поступающие отAndroid.Loki.1.origin и Android.Loki.2.origin. Фактически, Android.Loki.3 играет роль сервера для запуска шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, через локальный сокет, и Android.Loki.3 запускает этот скрипт.

    Защитите ваше Android-устройство с помощью Dr.Web
     
    Последнее редактирование: 6 фев 2016
    Kиpилл нравится это.
  2. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    Добавьте пункт в голосование: Устройствами на android не пользуюсь совсем.
     
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Я не смогу уже, прав нет. Время редактирования вышло..
    Но на нет и суда нет.. Зачем же тогда голосовать ? Это для мазохистов опрос :Dash1:
     
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Доктор и авг...смотря какая лопата.
     
    Phoenix нравится это.
  5. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Доктор и аваст (нет в списке)
     
    Phoenix нравится это.

Поделиться этой страницей