Вирусные аналитики корпорации «Доктор Веб» заприметили вредоносную программу, встроенную в прошивку нескольких мобильных механизмов под управлением ОС Android. Троянец, получивший имя , внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений так будто в силах неприметно скачивать так будто пускать добавочные модули.
Троянцы семейства внедряются в системный процесс ингридиента ОС Android под наименованием Zygote, какой отвечает за старт программ на мобильных устройствах. Благодаря инфецированию Zygote они интегрироуются в процессы всех работающих приложений, приобретают них возможности так будто функционируют с ними как-нибудь цельное целое. засим этого они неприметно скачивают так будто запускают разные вредные модули.
В несходство от остальных представителей этого семейства, кои для исполнения вредных действий стараются обрести root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец встроен в системную библиотеку libandroid_runtime.so. Ее измененная версия была обнаружена безотложно на нескольких мобильных устройствах, посреди коих Leagoo M5 Plus, Leagoo M8, Nomu S10 так будто Nomu S20. книгохранилище libandroid_runtime.so применяется всеми Android-приложениями, в следствии этого вредный код в зараженной системе наличествует в памяти всех запускаемых приложений.
Внедрение в данную библиотеку было выполнено на уровне начального кода. Можно предположить, будто к распространению троянца причастны инсайдеры либо нерадивые партнеры, кои участвовали в создании прошивок зараженных мобильных устройств.
встроен в libandroid_runtime.so подобным образом, будто он приобретает управление любой раз, как скоро хоть какое приложение на устройстве делает запись в системный журнал. так как служба Zygote начинает работу перво-наперво остальных программ, начальный пуск троянца происходит как раз спустя нее.
После инициализации вредная программа делает подготовительную настройку ряда параметров, созидает работник каталог так будто проверяет, в каком округе она работает. в случае коли троянец работает в среде Dalvik, он перехватывает одинаковый из системных методов, будто разрешает ему же выслеживать старт всех приложений так будто начинать вредоносную деятельность безотложно засим них старта.
Основная опция — неприметный пуск добавочных вредных модулей, кои имеют точка шансы загружать альтернативные ингридиенты троянца. Для них пуска инспектирует присутствие в сотворенной им же прежде рабочей директории особого подкаталога. Его имя видно кормить смысл MD5 имени программного пакета приложения, в процесс коего внедрился троянец. в случае коли находит подобный каталог, он отыскивает в нем файл 32.mmd либо 64.mmd (для 32- так будто 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, предохраняет под именованием libcnfgp.so, засим чего загружает его в оперативную память с применением 1-го из системных способов так будто удаляет расшифрованный файл с устройства. в случае коли же вредная программа не делать находит необходимый объект, она отыскивает файл 36.jmd. расшифровывает его, предохраняет под именованием mms-core.jar, запускает при поддержке класса DexClassLoader, засим чего а уж тоже удаляет сотворенную копию.
В итоге в силах насаждать самые всевозможные троянские модули в процессы всех программ так будто воздействовать на них работу. Например, вирусописатели имеют точка шансы спустить троянцу команду на скачивание так будто пуск вредных плагинов для кражи секретной инфы из банковских приложений, модулей для кибершпионажа так будто перехвата переписки из покупателей общественных сетей так будто интернет-мессенджеров так будто т. п.
Кроме того, перемножать извлекать из библиотеки libandroid_runtime.so троянский модуль , какой хранится в ней в зашифрованном виде. Его основополагающая опция — загрузка из веба добавочных вредных компонентов, а уж а тоже снабжение них взаимодействия милаша с другом.
Поскольку встроен в одну из библиотек операционной системы так будто предрасположен в системном разделе, удаление его стандартными способами невозможно. одиним-единственным достоверным так будто безвредным методикой борьбы с тем самым троянцем появляется указание заранее очищенной прошивки ОС Android. эксперты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, в следствии этого юзерам рекомендуется ввести точка вполне вероятные обновления, кои будут выпущены для подобных устройств.
Защитите ваше Android-устройство с поддержкой Dr.Web
НОВОЕ НА САЙТЕ
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости