Вирусные аналитики фирмы «Доктор Веб» нашли вредоносную программу, встроенную в прошивку нескольких мобильных механизмов под управлением ОС Android. Троянец, получивший имя , внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений так как в силах неприметно скачивать так как лукать добавочные модули.
Троянцы семейства внедряются в системный процесс ингридиента ОС Android под заглавием Zygote, какой отвечает за старт программ на мобильных устройствах. Благодаря инфецированию Zygote они интегрироуются в процессы всех работающих приложений, приобретают них возможности так как функционируют с ними насколько цельное целое. далее этого они неприметно скачивают так как запускают всевозможные вредные модули.
В различие от остальных представителей этого семейства, кои для исполнения вредных действий пробуют приобрести root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец встроен в системную библиотеку libandroid_runtime.so. Ее измененная версия была обнаружена зараз на нескольких мобильных устройствах, посреди коих Leagoo M5 Plus, Leagoo M8, Nomu S10 так как Nomu S20. книгохранилище libandroid_runtime.so применяется всеми Android-приложениями, потому вредный код в зараженной системе наличествует в памяти всех запускаемых приложений.
Внедрение в данную библиотеку было выполнено на уровне начального кода. Можно предположить, как к распространению троянца причастны инсайдеры или же нерадивые партнеры, кои участвовали в создании прошивок зараженных мобильных устройств.
встроен в libandroid_runtime.so подобным образом, как он приобретает управление всякий раз, когда-нибудь хоть какое приложение на устройстве делает запись в системный журнал. ведь служба Zygote начинает работу перво-наперво остальных программ, первый пуск троянца происходит какой-нибудь чрез нее.
После инициализации вредная программа делает подготовительную настройку ряда параметров, формирует работник каталог так как проверяет, в каком округе она работает. коли троянец работает в среде Dalvik, он перехватывает одинешенек из системных методов, как разрешает ему же выслеживать старт всех приложений так как начинать вредоносную деятельность зараз далее них старта.
Основная опция — неприметный пуск доборных вредных модулей, кои имеют точка шансы загружать иные ингридиенты троянца. Для них пуска инспектирует присутствие в сотворенной им же раньше рабочей директории особого подкаталога. Его имя обязано включать смысл MD5 имени программного пакета приложения, в процесс коего внедрился троянец. коли находит экий каталог, он отыскивает в нем файл 32.mmd или же 64.mmd (для 32- так как 64-битных версий операционной системы соответственно). При наличии подобного файла троянец расшифровывает его, предохраняет под именованием libcnfgp.so, далее чего загружает его в оперативную память с применением единого из системных способов так как удаляет расшифрованный файл с устройства. коли же вредная программа перестать находит необходимый объект, она отыскивает файл 36.jmd. расшифровывает его, предохраняет под именованием mms-core.jar, запускает при поддержке класса DexClassLoader, далее чего а уж тоже удаляет сотворенную копию.
В итоге в силах насаждать самые всевозможные троянские модули в процессы всех программ так как воздействовать на них работу. Например, вирусописатели имеют точка шансы сбыть троянцу команду на скачивание так как пуск вредных плагинов для кражи секретной инфы из банковских приложений, модулей для кибершпионажа так как перехвата переписки из покупателей общественных сетей так как интернет-мессенджеров так как т. п.
Кроме того, перемножать извлекать из библиотеки libandroid_runtime.so троянский модуль , какой хранится в ней в зашифрованном виде. Его основополагающая опция — загрузка из веба доборных вредных компонентов, а уж а тоже снабжение них взаимодействия ненаглядный с другом.
Поскольку встроен в одну из библиотек операционной системы так как находится в системном разделе, удаление его стандартными алгоритмами невозможно. единым достоверным так как безвредным методом борьбы с данным троянцем появляется предписание заранее очищенной прошивки ОС Android. эксперты «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, потому юзерам рекомендуется ввести точка вероятные обновления, кои будут выпущены для подобных устройств.
Защитите ваше Android-устройство с поддержкой Dr.Web
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости