Архитектура троянов для операционной системы Android становиться сложнее с каждым годом: если первые вредоносные программы для Андроид были достаточно простые, то в данный момент не уступают по сложности даже самым утончённым троянам для Windows.
Несколько дней назад специалисты из «Доктор Веб» обнаружили целый «букет» троянов для Android, обладающих прешироким диапазоном функциональных возможностей.
Этот «букет» состоит из 3-х работающих вместе троянцев, с названиями Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3. Первый из них устанавливается с через библиотеку liblokih.so, детектируемой Антивирусом Dr.Web для Android с именем Android.Loki.6. Данная библиотека внедряется в один из системных процессов вредоносной программой Android.Loki.3 — в последствии Android.Loki.1.origin обретает возможность работать в системе с с полными root-правами.
Android.Loki.1.origin — особая служба, имеющая обширный набор функций: например, он может загрузить из магазина Google Play любую программу с помощью особой гиперссылки, заключающей указание на учетную запись той или иной партнерской программы, а злоумышленников появляется возможность получать доход за скачанные программы.
Второй троян из обнаруженный специалистами «Доктор Веб» — Android.Loki.2.origin — специализирован для установки на зараженные смартфоны и планшеты, разные программы по команде с специального сервера, а также еще для показа рекламы.
Третий, Android.Loki.3 выполняет на заражённом смартфоне и планшете две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и дает возможность исполнять команды от имени root-пользователя, которые посылают другие вредоносные программы из семейства Android.Loki. Практически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: злоумышленники дают программе путь к скрипту, который нужно выполнить, и Android.Loki.3 запускает этот скрипт.
Так как вредоносные программы из семейства Android.Loki размещаются в системных папках Android, к которым у антивирусной приложений нет доступа, при обнаружении на смартфоне или планшете любого из таких троянов самый лучший метод уничтожать результаты заражения – перепрошить устройство на оригинальную прошивку.
Перед выполнением данной процедуры советую сделать резервную копию всей важной информации на инфицированном устройстве, а малоопытным пользователям лучше обратиться к профессионалу.