Трояны Android.Xny по-прежнему почти не удаляемы и опасны для 25% пользователей
22.01.20
Специалисты «Доктор Веб» сообщают об обнаружении новых образцов семейства троянов Android.Xiny. Эта малварь известна ИБ-экспертам с 2015 года и все еще опасна для пользователей и продолжает развиваться, ведь, по данным Google, 25.2% устройств до сих пор работают под управлением Android 5.1 и ниже, а значит являются отличными мишенями Android.Xiny.
Начиная с самых ранних версий, главная функция трояна Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнерских программах, которые платят за каждую установку. Разработчики малвари активно распространяют подобные трояны через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play.
Попадая на Android-устройство, малварь семейства Android.Xiny пытается получить root-доступ, чтобы иметь возможность незаметно загружать и устанавливать различное ПО. Кроме того, трояны могут показывать навязчивую рекламу. Одной из особенностей данного семейства малвари с самого начала являлся уникальный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). В итоге попытка удалить приложение выглядела успешной, его данные удалялись, но сам apk-файл оставался на месте. После перезагрузки устройства приложение снова «появлялось».
Теперь, в конце 2019 года исследователи обнаружили новые образцы Android.Xiny, заметив изменения в системном файле /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции.
Исследователи рассказывают, что в настоящее время самозащита трояна складывается из двух частей: его установщик удаляет приложения для управления root-правами, а модифицированная библиотека libc.so не дает установить их снова. Кроме того, эта защита работает и от «конкурентов» — другой малвари, которая получает права root и устанавливается в системный раздел, поскольку они работают по тому же принципу, что и «хорошие» приложения для получения root.
Таким образом, избавиться от новейшего Android.Xiny.5260 сложно, к примеру, для этого можно перепрошить устройство (при условии, что в открытом доступе существует прошивка для него). Но можно удалить малварь и другим способом. Так, для получения root-доступа можно использовать эксплоиты в виде so-библиотек. В отличие от исполняемых файлов, их загрузку троян не блокирует. Также можно воспользоваться компонентом самого трояна, который предназначен для предоставления root-прав другим его частям. Он получает команды через сокет по пути /dev/socket/hs_linux_work201908091350 (в разных модификациях путь может отличаться). Что касается обхода блокировки mount, можно использовать «волшебное» значение параметра mountflags, либо напрямую вызвать соответствующий syscall.
Хакер.ру
22.01.20
Специалисты «Доктор Веб» сообщают об обнаружении новых образцов семейства троянов Android.Xiny. Эта малварь известна ИБ-экспертам с 2015 года и все еще опасна для пользователей и продолжает развиваться, ведь, по данным Google, 25.2% устройств до сих пор работают под управлением Android 5.1 и ниже, а значит являются отличными мишенями Android.Xiny.
Начиная с самых ранних версий, главная функция трояна Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнерских программах, которые платят за каждую установку. Разработчики малвари активно распространяют подобные трояны через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play.
Попадая на Android-устройство, малварь семейства Android.Xiny пытается получить root-доступ, чтобы иметь возможность незаметно загружать и устанавливать различное ПО. Кроме того, трояны могут показывать навязчивую рекламу. Одной из особенностей данного семейства малвари с самого начала являлся уникальный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). В итоге попытка удалить приложение выглядела успешной, его данные удалялись, но сам apk-файл оставался на месте. После перезагрузки устройства приложение снова «появлялось».
Теперь, в конце 2019 года исследователи обнаружили новые образцы Android.Xiny, заметив изменения в системном файле /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции.
Исследователи рассказывают, что в настоящее время самозащита трояна складывается из двух частей: его установщик удаляет приложения для управления root-правами, а модифицированная библиотека libc.so не дает установить их снова. Кроме того, эта защита работает и от «конкурентов» — другой малвари, которая получает права root и устанавливается в системный раздел, поскольку они работают по тому же принципу, что и «хорошие» приложения для получения root.
Таким образом, избавиться от новейшего Android.Xiny.5260 сложно, к примеру, для этого можно перепрошить устройство (при условии, что в открытом доступе существует прошивка для него). Но можно удалить малварь и другим способом. Так, для получения root-доступа можно использовать эксплоиты в виде so-библиотек. В отличие от исполняемых файлов, их загрузку троян не блокирует. Также можно воспользоваться компонентом самого трояна, который предназначен для предоставления root-прав другим его частям. Он получает команды через сокет по пути /dev/socket/hs_linux_work201908091350 (в разных модификациях путь может отличаться). Что касается обхода блокировки mount, можно использовать «волшебное» значение параметра mountflags, либо напрямую вызвать соответствующий syscall.
Хакер.ру
