Трояны Android.Xiny научились внедряться в системные процессы

Безопасность Пользователю Интернет MobileB2B
мобильная версия
, Текст: Татьяна Короткова

Вирусные аналитики компании «Доктор Веб» обнаружили новые версии троянов семейства Android.Xiny, которые предназначены для незаметной загрузки и удаления программ. Теперь эти трояны могут внедряться в процессы системных приложений и загружать в атакуемые программы различные вредоносные плагины, сообщили CNews в «Доктор Веб».

Трояны семейства Android.Xiny известны с марта 2015 г. Вирусописатели активно распространяют их через различные сайты — сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play.

Попадая на Android-смартфоны и планшеты, трояны Android.Xiny пытаются получить root-доступ, чтобы незаметно загружать и устанавливать различное ПО. Кроме того, они могут показывать надоедливую рекламу. Одной из особенностей этих вредоносных приложений является впервые использованный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). Однако злоумышленники продолжили оптимизировать троянов Xiny и добавили в них возможность внедряться (выполнять инжект) в процессы системных программ, чтобы запускать от их имени различные вредоносные плагины, рассказали в «Доктор Веб».

Один из таких обновленных троянов, исследованный вирусными аналитиками «Доктор Веб», получил имя Android.Xiny.60. Он устанавливается в системный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает из своих файловых ресурсов несколько вспомогательных троянских компонентов и копирует их в системные каталоги: /system/xbin/igpi; /system/lib/igpld.so; /system/lib/igpfix.so; /system/framework/igpi.jar.

Далее при помощи модуля igpi (добавлен в вирусную базу Dr.Web как Android.Xiny.61) троян выполняет инжект библиотеки igpld.so (детектируется Dr.Web как Android.Xiny.62) в процессы системных приложений Google Play (com.android.vending) и сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться и в системный процесс zygote, однако в текущей версии трояна эта функция не используется, отметили в компании.

При заражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. В результате, если троян обнаруживает вновь запущенный процесс, он внедряет в него вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется и после заражения процессов системных приложений Google Play и сервисы Google Play.

Основная задача модуля igpi.jar — загрузка заданных злоумышленниками вредоносных плагинов и их запуск в контексте зараженных программ. Он отслеживает состояние мобильного устройства и при наступлении определенных системных событий (например, включение или выключение экрана, изменение состояния подключения к сети, подключение или отключение зарядного устройства и ряд других) соединяется с управляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне или планшете: IMEI-идентификатор; IMSI-идентификатор; MAC-адрес сетевого адаптера; версию ОС; название модели мобильного устройства; язык системы; имя программного пакета, внутри процесса которого работает троян.

В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения. Вирусные аналитики пока не зафиксировали распространение таких вредоносных модулей, однако если злоумышленники их создадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троян внедрится в процесс Google Play, он сможет загрузить в него модуль для установки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 получит возможность перехватывать и отправлять сообщения. А если троян внедрится в процесс банковской программы, после запуска необходимого плагина он сможет красть конфиденциальные данные (логины, пароли, номера кредитных карт и т.п.) и даже незаметно переводить деньги на счета злоумышленников, указали в «Доктор Веб».

Специалисты компании продолжают отслеживать активность троянов семейства Android.Xiny. Для защиты мобильных устройств от заражения в «Доктор Веб» рекомендуют установить антивирусные продукты Dr.Web для Android, которые детектируют все известные модификации этих вредоносных программ.