Тепер експерти попередили про появу нової версії Android.Loki, яка теж впроваджується в процеси різних додатків, в тому числі системних, однак тепер для цього вона заражає бібліотеки ОС Android.
Шкідлива програма отримала ідентифікатор Android.Loki.16.origin. і вона як і раніше являє собою багатокомпонентного троянця. Зараження відбувається в кілька етапів. Android.Loki.16.origin потрапляє на пристрій жертви завдяки тому, що його завантажують інші шкідливі програми. Потім троян запускається, з'єднується з керуючим сервером і завантажує шкідливий компонент Android.Loki.28 і кілька експлойтів для отримання root-доступу. Всі ці файли зберігаються в робочий каталог троянця. Далі малваре черзі виконує експлоїти і після успішного підвищення системних привілеїв запускає модуль Android.Loki.28.
Даний модуль монтує розділ / system на запис, отримуючи можливість вносити зміни в системні файли. Потім він витягує з себе додаткові шкідливі компоненти Android.Loki.26 і Android.Loki.27 і поміщає їх в системні каталоги / system / bin / і / system / lib /. Після малваре впроваджує в одну з системних бібліотек залежність від компонента Android.Loki.27, який прив'язується до бібліотеки і запускається кожного разу, коли її задіє операційна система. На зображеннях нижче представлений приклад змін, які виконує шкідлива програма.
Експерти «Доктор Веб» попереджають, що видалення цієї малварі - нелегке завдання. Спроба видалення модуля Android.Loki.27 призведе до поломки зараженого девайса, так як модуль змінює системні компоненти. Тобто при наступних включеннях ОС не зможе завантажитися нормально, тому що не знайде в модифікованої бібліотеці залежність, відповідну троянцу. Щоб відновити роботу системи, пристрій доведеться перепрошити.
Поділися новиною з друзями: