Вирусные аналитики фирме «Доктор Веб» нашли новенькие версии троянцев семейства Android.Xiny, кои специализированы для неприметной загрузки так ровно удаления программ. нынче эти троянцы имеют конец шансы внедряться в процессы системных приложений так ровно загружать в атакуемые программы разнообразные вредные плагины.
Троянцы семейства знамениты с марта 2015 года. Вирусописатели деятельно распространяют них спустя разнообразные веб-сайты – сборники ПО для мобильных механизмов так ровно в фолиант числе так ровно спустя официальные сборники приложений, подобные точно гугл Play, о чем корпорация «Доктор Веб» ранее.
Попадая на Android-смартфоны так ровно планшеты, троянцы стараются приобрести root-доступ, дабы неприметно загружать так ровно ставить всевозможное ПО. помимо того, они имеют конец шансы обнаруживать назойливую рекламу. Одной из индивидуальностей этих вредных приложений появляется впервинку примененный устройство обороны от удаления. Он основан на том, ровно троянским apk-файлам присваивается принадлежность «неизменяемый» (immutable). впрочем преступники продолжили улучшать троянцев Xiny так ровно добавили в них вероятность внедряться (выполнять инжект) в процессы системных программ, дабы бросать от них имени разнообразные вредные плагины.
Один из подобных освеженных троянцев, исследованный вирусными аналитиками «Доктор Веб», приобрел имя . Он монтируется в системный каталог мобильных механизмов иными представителями семейства . позднее пуска извлекает из своих файловых ресурсов крошечку запасных троянских компонент так ровно копирует них в системные каталоги:
/system/xbin/igpi;
/system/lib/igpld.so;
/system/lib/igpfix.so;
/system/framework/igpi.jar.
Далее при поддержки модуля igpi (добавлен в вирусную основание Dr.Web точно ) троянец делает инжект библиотеки igpld.so (детектируется Dr.Web точно ) в процессы системных приложений гугл Play (com.android.vending) так ровно Сервисы гугл Play (com.google.android.gms, co.google.android.gms.persistent). помимо того, использование этого вредного модуля помножать производиться так ровно в системный процесс zygote, впрочем в текущей версии троянца данная опция перестать используется.
При инфецировании процесса zygote начинает выслеживать пуск новеньких приложений. В результате, коли троянец обнаруживает снова заброшенный процесс, он вводит в него вредный модуль igpi.jar (). данный же модуль внедряется так ровно позднее инфецирования процессов системных приложений гугл Play так ровно Сервисы гугл Play.
Основная задачка модуля igpi.jar – загрузка данных злодеями вредных плагинов так ровно них пуск в контексте зараженных программ. Он выслеживает положение мобильного устройства так ровно при пришествии конкретных системных обстоятельств (например, включение либо выключение экрана, изменение состояния включения к сети, подключение либо отключение зарядного устройства так ровно пробор других) соединяется с управляющим сервером, куда-нибудь посылает надлежащую информацию об инфицированном смартфоне либо планшете:
IMEI-идентификатор;
IMSI-идентификатор;
MAC-адрес сетевого адаптера;
версию ОС;
название модели мобильного устройства;
язык системы;
имя программного пакета, снутри процесса коего функционирует троянец.
В отголосок помножать навалить так ровно забыть вредные плагины, кои позднее скачивания будут делать точно фрагмент такого либо другого атакованного приложения. Вирусные аналитики пока что перестать закрепили распространение подобных вредных модулей, впрочем коли преступники них создадут, довольно в силах нападать юзеров многих программ. Например, коли троянец внедрится в процесс гугл Play, он сумеет навалить в него модуль для инсталляции ПО. коли довольно заражен процесс какого-нибудь мессенджера, приобретет вероятность перехватывать так ровно отправлять сообщения. а уж коли троянец внедрится в процесс банковской программы, позднее пуска важного плагина он сумеет воровать секретные заданные (логины, пароли, гостиница кредитных карт так ровно т. п.) так ровно в фолиант числе так ровно неприметно тратить средства на счета злоумышленников.
Специалисты фирме «Доктор Веб» продолжают выслеживать энергичность троянцев семейства . Для обороны мобильных механизмов от инфецирования рекомендуется ввести антивирусные провизия Dr.Web для Android, кои удачно детектируют конец популярные трансформации этих вредных программ.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web