ГлавнаяНовостиНовостиНовости, 201708Новости, 201708 → «Доктор Веб»: троянец на Android-устройствах заражает приложения и скачивает вредоносные модули

«Доктор Веб»: троянец на Android-устройствах заражает приложения и скачивает вредоносные модули

Вирусные аналитики компании «Доктор Веб» обнаружили вредоносную программу, встроенную в прошивку нескольких мобильных устройств под управлением ОС Android. Троянец, получивший имя Android.Triada.231, внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений и способен незаметно скачивать и запускать дополнительные модули.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Знакомства] | [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Заработок в партнерских программах Рунета | Деньги ушли в Сеть | «Одноклассник» ушел за кредитами | Синхронизация данных в социальных сетях | "В контакте" начинает зарабатывать | Кто хочет раскулачить рунет? | Выживут ли социальные сети? | Интернет: спасение от кризиса в сказочной стране? | Россиян приучат к интернет-деньгам | Деньги за аватару для президента Медведева | Социальные сети: платные услуги и акции протеста | Приостановлена деятельность криминального американского интернет-провайдера | 200 миллионов из России для Facebook | WebMoney запустила приложение для социальных сетей | Создателям «Твиттера» пора стать бизнесменами | Мелочный расчет в социальных сетях | J’son & Partners исследовала рынок порталов Рунета | Взгляды он-лайн и офф-лайн пользователей на методы оплаты |

Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.

В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.

Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.

Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.

После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.

В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android. Специалисты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, поэтому пользователям рекомендуется установить все возможные обновления, которые будут выпущены для таких устройств.

div.img-block.video{ cursor: pointer; } div.img-block.video{ background-color: #f5f7fa; display: block; margin: 10px 0; padding: 20px 14px 14px; color: #757980; font-size: 13px; position: relative; animation-name: promoblock; animation-duration: 5s; animation-timing-function: linear; animation-iteration-count: infinite; animation-direction: alternate; animation-play-state: running; /* Firefox: */ -moz-animation-name: promoblock; -moz-animation-duration: 5s; -moz-animation-timing-function: linear; -moz-animation-delay: 2s; -moz-animation-iteration-count: infinite; -moz-animation-direction: alternate; -moz-animation-play-state: running; /* Safari Chrome: */ -webkit-animation-name: promoblock; -webkit-animation-duration: 5s; -webkit-animation-timing-function: linear; -webkit-animation-delay: 2s; -webkit-animation-iteration-count: infinite; -webkit-animation-direction: alternate; -webkit-animation-play-state: running; } div.img-block.video:after, div.img-block.video > .after { content: " "; display: block; height: 0; clear: both; visibility: hidden; } div.img-block video:hover { text-decoration: none; color: #757980; transform: scale(1.03); -webkit-transform: scale(1.03); -moz-transform: scale(1.03); -o-transform: scale(1.03); } Your browser does not support the video tag. CNews Forum 2017: Информационные технологии завтра

ГлавнаяНовостиНовостиНовости, 201708Новости, 201708 → «Доктор Веб»: троянец на Android-устройствах заражает приложения и скачивает вредоносные модули

Telegram в России разблокирован не полностью. Виноваты Facebook и автоматы с едой

Как выяснил CNews, несмотря на разблокировку Telegram, в России продолжает быть заблокированным связанный с ним с блог-сервис Telegra.ph. Причиной являются две записи на данной платформе, одна из которой посвящена способам обмана вендинговых автомато...

ДИТ Москвы модернизирует систему видеонаблюдения

Повышение качества изображения камер способствует росту эффективности использования средств видеоаналитики....

В России создан бесплатный «мобильный доктор» для людей с кожными заболеваниями

Российские разработчики запустили бесплатный сервис CheckSkin на базе одноименного мобильного приложения, позволяющий людям с хроническими заболеваниями кожи отслеживать динамику болезни и информировать о ней своих лечащих врачей. Платформа CheckSkin...

Мосгорсуд отклонил жалобу Telegram по делу о блокировке

У кассационной инстанции нет сомнений в законности судебных решений по делу о блокировке мессенджера на территории России....

Минкомсвязи хочет влить миллиарды рублей в российскую мобильную ОС

Минкомсвязи предложило направить на развитие единственной мобильной ОС «Аврора» 8,2 млрд руб. Эти деньги планируется выделить в течение следующих четырех лет и потратить также на внедрение системы в госорганы. Для этого было предложено внести соответ...

[Популярные социальные сети] [*Добавить сайт]

Нравится


Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |