Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Профиль

Назад к списку новостей

«Доктор Веб»: троянцы Android.Xiny научились внедряться в системные процессы

20 сентября 2016 года

Вирусные аналитики компании «Доктор Веб» обнаружили новые версии троянцев семейства Android.Xiny, которые предназначены для незаметной загрузки и удаления программ. Теперь эти троянцы могут внедряться в процессы системных приложений и загружать в атакуемые программы различные вредоносные плагины.

Троянцы семейства Android.Xiny известны с марта 2015 года. Вирусописатели активно распространяют их через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play, о чем компания «Доктор Веб» сообщала ранее.

Попадая на Android-смартфоны и планшеты, троянцы Android.Xiny пытаются получить root-доступ, чтобы незаметно загружать и устанавливать различное ПО. Кроме того, они могут показывать надоедливую рекламу. Одной из особенностей этих вредоносных приложений является впервые использованный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). Однако злоумышленники продолжили совершенствовать троянцев Xiny и добавили в них возможность внедряться (выполнять инжект) в процессы системных программ, чтобы запускать от их имени различные вредоносные плагины.

Один из таких обновленных троянцев, исследованный вирусными аналитиками «Доктор Веб», получил имя Android.Xiny.60. Он устанавливается в системный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает из своих файловых ресурсов несколько вспомогательных троянских компонентов и копирует их в системные каталоги:

  • /system/xbin/igpi;
  • /system/lib/igpld.so;
  • /system/lib/igpfix.so;
  • /system/framework/igpi.jar.

Далее при помощи модуля igpi (добавлен в вирусную базу Dr.Web как Android.Xiny.61) троянец выполняет инжект библиотеки igpld.so (детектируется Dr.Web как Android.Xiny.62) в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться и в системный процесс zygote, однако в текущей версии троянца эта функция не используется.

При заражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. В результате, если троянец обнаруживает вновь запущенный процесс, он внедряет в него вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется и после заражения процессов системных приложений Google Play и Сервисы Google Play.

screen #drweb

Основная задача модуля igpi.jar – загрузка заданных злоумышленниками вредоносных плагинов и их запуск в контексте зараженных программ. Он отслеживает состояние мобильного устройства и при наступлении определенных системных событий (например, включение или выключение экрана, изменение состояния подключения к сети, подключение или отключение зарядного устройства и ряд других) соединяется с управляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне или планшете:

  • IMEI-идентификатор;
  • IMSI-идентификатор;
  • MAC-адрес сетевого адаптера;
  • версию ОС;
  • название модели мобильного устройства;
  • язык системы;
  • имя программного пакета, внутри процесса которого работает троянец.

В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения. Вирусные аналитики пока не зафиксировали распространение таких вредоносных модулей, однако если злоумышленники их создадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троянец внедрится в процесс Google Play, он сможет загрузить в него модуль для установки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 получит возможность перехватывать и отправлять сообщения. А если троянец внедрится в процесс банковской программы, после запуска необходимого плагина он сможет красть конфиденциальные данные (логины, пароли, номера кредитных карт и т. п.) и даже незаметно переводить деньги на счета злоумышленников.

Специалисты компании «Доктор Веб» продолжают отслеживать активность троянцев семейства Android.Xiny. Для защиты мобильных устройств от заражения рекомендуется установить антивирусные продукты Dr.Web для Android, которые успешно детектируют все известные модификации этих вредоносных программ.

Подробнее о троянце

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А