Специалисты компании «Доктор Веб» выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей. Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно.
Первый из них загружается с помощью библиотеки liblokih.so, детектируемой под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system.
Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin стоит отметить установку и удаление приложений, включение и отключение приложений, а также их компонентов, остановку процессов, демонстрацию уведомлений, регистрацию приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства), обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.
Android.Loki.2.origin предназначен для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам IMEI, IMSI и mac-адрес инфицированного устройства, идентификатор MCC, идентификатор MNC, версию ОС на инфицированном устройстве, значение разрешения экрана, данные об оперативной памяти (общий и свободный объем), версию ядра ОС, данные о модели устройства, о производителе устройства, версию прошивки, а также серийный номер устройства.
После отправки этой информации на управляющий сервер троянец получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам версию конфигурационного файла, версию сервиса, реализованного троянцем Android.Loki.1.origin, язык операционной системы, страну, указанную в настройках операционной системы, информацию о пользовательской учетной записи в сервисах Google. В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые троянцем уведомления может привести либо к переходу на определенный сайт, либо к установке приложения.
Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki. Фактически, он играет роль сервера для выполнения шелл-скриптов: киберпреступники передают троянцу путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт.
Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения — перепрошить устройство с использованием оригинального образа ОС.
