Вирусные аналитики корпорации «Доктор Веб» заприметили вредоносную программу, встроенную в прошивку нескольких мобильных механизмов под управлением ОС Android. Троянец, получивший имя , внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений так чисто в силах неприметно скачивать так чисто шибать добавочные модули.
Троянцы семейства внедряются в системный процесс ингридиента ОС Android под заглавием Zygote, который-нибудь отвечает за старт программ на мобильных устройствах. Благодаря инфецированию Zygote они интегрироуются в процессы всех работающих приложений, приобретают них возможности так чисто функционируют с ними чисто единое целое. следом этого они неприметно скачивают так чисто запускают всевозможные вредные модули.
В разница от иных представителей этого семейства, коие для исполнения вредных действий стараются обрести root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец встроен в системную библиотеку libandroid_runtime.so. Ее измененная версия была обнаружена разом на нескольких мобильных устройствах, посреди коих Leagoo M5 Plus, Leagoo M8, Nomu S10 так чисто Nomu S20. книгохранилище libandroid_runtime.so применяется всеми Android-приложениями, почему вредный код в зараженной системе наличествует в памяти всех запускаемых приложений.
Внедрение в данную библиотеку было выполнено на уровне начального кода. Можно предположить, чисто к распространению троянца причастны инсайдеры или же нерадивые партнеры, коие участвовали в создании прошивок зараженных мобильных устройств.
встроен в libandroid_runtime.so подобным образом, чисто он приобретает управление любой раз, как скоро хоть какое приложение на устройстве делает запись в системный журнал. так как служба Zygote начинает работу раньше иных программ, начальный пуск троянца происходит конкретно сквозь нее.
После инициализации вредная программа делает подготовительную настройку ряда параметров, формирует трудящийся каталог так чисто проверяет, в каком округе она работает. коли троянец работает в среде Dalvik, он перехватывает один-одинешенек из системных методов, чисто дозволяет ему же выслеживать старт всех приложений так чисто начинать вредоносную деятельность разом следом них старта.
Основная опция — малозаметный пуск добавочных вредных модулей, коие имеют баста шансы загружать остальные ингридиенты троянца. Для них пуска испытывает присутствие в сотворенной им же раньше рабочей директории особого подкаталога. Его имя очевидно включать смысл MD5 имени программного пакета приложения, в процесс коего внедрился троянец. коли находит таковой каталог, он отыскивает в нем файл 32.mmd или же 64.mmd (для 32- так чисто 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, предохраняет под именованием libcnfgp.so, следом чего загружает его в оперативную память с применением единого из системных способов так чисто удаляет расшифрованный файл с устройства. коли же вредная программа перестать находит необходимый объект, она отыскивает файл 36.jmd. расшифровывает его, предохраняет под именованием mms-core.jar, запускает при поддержки класса DexClassLoader, следом чего тоже удаляет сотворенную копию.
В итоге в силах вводить самые всевозможные троянские модули в процессы всех программ так чисто воздействовать на них работу. Например, вирусописатели имеют баста шансы сдать троянцу команду на скачивание так чисто пуск вредных плагинов для кражи секретной инфы из банковских приложений, модулей для кибершпионажа так чисто перехвата переписки из покупателей общественных сетей так чисто интернет-мессенджеров так чисто т. п.
Кроме того, множить извлекать из библиотеки libandroid_runtime.so троянский модуль , который-нибудь хранится в ней в зашифрованном виде. Его основополагающая опция — загрузка из веба добавочных вредных компонентов, а уж тоже снабжение них взаимодействия милашка с другом.
Поскольку встроен в одну из библиотек операционной системы так чисто предрасположен в системном разделе, удаление его стандартными способами невозможно. единым достоверным так чисто безвредным методом борьбы с тем самым троянцем появляется монтаж заранее очищенной прошивки ОС Android. знатоки «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, почему юзерам рекомендуется найти баста вероятные обновления, коие будут выпущены для подобных устройств.
Защитите ваше Android-устройство с поддержкой Dr.Web
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web