21, Сентябрь 2016

Трояны Android.Xiny научились внедряться в системные процессы

Вирусные аналитики компании «Доктор Веб» обнаружили новые версии троянов семейства Android.Xiny, которые предназначены длянезаметной загрузки иудаления программ. Теперь эти трояны могут внедряться впроцессы системных приложений изагружать ватакуемые программы различные вредоносные плагины, сообщили CNews в«Доктор Веб».

Трояны семейства Android.Xiny известны смарта 2015 г. Вирусописатели активно распространяют ихчерез различные сайты — сборники ПОдля мобильных устройств идаже через официальные каталоги приложений, такие как Google Play.

Попадая наAndroid-смартфоны ипланшеты, трояны Android.Xiny пытаются получить root-доступ, чтобы незаметно загружать иустанавливать различное ПО. Кроме того, они могут показывать надоедливую рекламу. Одной изособенностей этих вредоносных приложений является впервые использованный механизм защиты отудаления. Он основан натом, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). Однако злоумышленники продолжили оптимизировать троянов Xiny идобавили вних возможность внедряться (выполнять инжект) впроцессы системных программ, чтобы запускать отих имени различные вредоносные плагины, рассказали в«Доктор Веб».

Один изтаких обновленных троянов, исследованный вирусными аналитиками «Доктор Веб», получил имя Android.Xiny.60. Он устанавливается всистемный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает изсвоих файловых ресурсов несколько вспомогательных троянских компонентов икопирует ихвсистемные каталоги: /system/xbin/igpi; /system/lib/igpld.so; /system/lib/igpfix.so; /system/framework/igpi.jar.

Далее припомощи модуля igpi (добавлен ввирусную базу Dr.Web как Android.Xiny.61) троян выполняет инжект библиотеки igpld.so (детектируется Dr.Web как Android.Xiny.62) впроцессы системных приложений Google Play (com.android.vending) исервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться ивсистемный процесс zygote, однако втекущей версии трояна эта функция неиспользуется, отметили вкомпании.

Призаражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. Врезультате, если троян обнаруживает вновь запущенный процесс, он внедряет внего вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется ипосле заражения процессов системных приложений Google Play исервисы Google Play.

Основная задача модуля igpi.jar — загрузка заданных злоумышленниками вредоносных плагинов иих запуск вконтексте зараженных программ. Он отслеживает состояние мобильного устройства ипри наступлении определенных системных событий (например, включение иливыключение экрана, изменение состояния подключения ксети, подключение илиотключение зарядного устройства иряд других) соединяется суправляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне илипланшете: IMEI-идентификатор; IMSI-идентификатор; MAC-адрес сетевого адаптера; версию ОС; название модели мобильного устройства; язык системы; имя программного пакета, внутри процесса которого работает троян.

Вответ Android.Xiny.60 может загрузить изапустить вредоносные плагины, которые после скачивания будут работать как часть того илииного атакованного приложения. Вирусные аналитики пока незафиксировали распространение таких вредоносных модулей, однако если злоумышленники ихсоздадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троян внедрится впроцесс Google Play, он сможет загрузить внего модуль дляустановки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 получит возможность перехватывать иотправлять сообщения. А если троян внедрится впроцесс банковской программы, после запуска необходимого плагина он сможет красть конфиденциальные данные (логины, пароли, номера кредитных карт ит.п.) идаже незаметно переводить деньги насчета злоумышленников, указали в«Доктор Веб».

Специалисты компании продолжают отслеживать активность троянов семейства Android.Xiny. Длязащиты мобильных устройств отзаражения в«Доктор Веб» рекомендуют установить антивирусные продукты Dr.Web дляAndroid, которые детектируют все известные модификации этих вредоносных программ.

Источник