Вирусные аналитики фирмы «Доктор Веб» заприметили новенькие версии троянцев семейства Android.Xiny, коие специализированы для неприметной загрузки так точно удаления программ. ныне эти троянцы имеют абсолютно все шансы внедряться в процессы системных приложений так точно загружать в атакуемые программы всевозможные вредные плагины.
Троянцы семейства популярны с марта 2015 года. Вирусописатели интенсивно распространяют них спустя всевозможные веб-сайты – сборники ПО для мобильных механизмов так точно в книга числе спустя официальные сборники приложений, подобные словно гугл Play, о чем корпорация «Доктор Веб» ранее.
Попадая на Android-смартфоны так точно планшеты, троянцы пробуют приобрести root-доступ, чтоб неприметно загружать так точно ставить всевозможное ПО. помимо того, они имеют абсолютно все шансы демонстрировать назойливую рекламу. Одной из индивидуальностей этих вредных приложений появляется первый раз примененный устройство обороны от удаления. Он основан на том, точно троянским apk-файлам присваивается определение «неизменяемый» (immutable). но преступники продолжили улучшать троянцев Xiny так точно добавили в них вероятность внедряться (выполнять инжект) в процессы системных программ, чтоб лукать от них имени всевозможные вредные плагины.
Один из подобных освеженных троянцев, исследованный вирусными аналитиками «Доктор Веб», приобрел имя . Он монтируется в системный каталог мобильных механизмов альтернативными представителями семейства . засим пуска извлекает из своих файловых ресурсов чуток запасных троянских компонент так точно копирует них в системные каталоги:
/system/xbin/igpi;
/system/lib/igpld.so;
/system/lib/igpfix.so;
/system/framework/igpi.jar.
Далее при поддержки модуля igpi (добавлен в вирусную основание Dr.Web словно ) троянец делает инжект библиотеки igpld.so (детектируется Dr.Web словно ) в процессы системных приложений гугл Play (com.android.vending) так точно Сервисы гугл Play (com.google.android.gms, co.google.android.gms.persistent). помимо того, использование этого вредного модуля перемножать производиться так точно в системный процесс zygote, но в текущей версии троянца данная опция закончить используется.
При инфецировании процесса zygote начинает выслеживать пуск новеньких приложений. В результате, коли троянец обнаруживает снова заброшенный процесс, он вводит в него вредный модуль igpi.jar (). данный же модуль внедряется так точно засим инфецирования процессов системных приложений гугл Play так точно Сервисы гугл Play.
Основная миссия модуля igpi.jar – загрузка данных злодеями вредных плагинов так точно них пуск в контексте зараженных программ. Он выслеживает положение мобильного устройства так точно при пришествии конкретных системных обстоятельств (например, включение либо выключение экрана, изменение состояния включения к сети, подключение либо отключение зарядного устройства так точно шеренга других) соединяется с управляющим сервером, много посылает надлежащую информацию об инфицированном смартфоне либо планшете:
IMEI-идентификатор;
IMSI-идентификатор;
MAC-адрес сетевого адаптера;
версию ОС;
название модели мобильного устройства;
язык системы;
имя программного пакета, снутри процесса коего ишачит троянец.
В отзвук перемножать нагрузить так точно забыть вредные плагины, коие засим скачивания будут ломить словно доля такого либо другого атакованного приложения. Вирусные аналитики простите закончить закрепили распространение подобных вредных модулей, но коли преступники них создадут, довольно в силах штурмовать юзеров многих программ. Например, коли троянец внедрится в процесс гугл Play, он сумеет нагрузить в него модуль для инсталляции ПО. коли довольно заражен процесс какого-нибудь мессенджера, приобретет вероятность перехватывать так точно отправлять сообщения. а уж коли троянец внедрится в процесс банковской программы, засим пуска важного плагина он сумеет воровать секретные заданные (логины, пароли, гостиница кредитных карт так точно т. п.) так точно в книга числе неприметно тратить финансы на счета злоумышленников.
Специалисты фирмы «Доктор Веб» продолжают выслеживать энергичность троянцев семейства . Для обороны мобильных механизмов от инфецирования рекомендуется определить антивирусные провиант Dr.Web для Android, коие удачно детектируют абсолютно все славные трансформации этих вредных программ.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web