Вирусные аналитики корпорации «Доктор Веб» нашли новейшие версии троянцев семейства Android.Xiny, кои специализированы для неприметной загрузки так точно удаления программ. сейчас эти троянцы имеют кончено шансы внедряться в процессы системных приложений так точно загружать в атакуемые программы всевозможные вредные плагины.
Троянцы семейства популярны с марта 2015 года. Вирусописатели интенсивно распространяют них спустя всевозможные веб-сайты – сборники ПО для мобильных механизмов так точно в книжка числе спустя официальные сборники приложений, подобные будто только гугл Play, о чем фирма «Доктор Веб» ранее.
Попадая на Android-смартфоны так точно планшеты, троянцы пробуют принять root-доступ, дабы неприметно загружать так точно становить всевозможное ПО. за исключением того, они имеют кончено шансы выказывать назойливую рекламу. Одной из индивидуальностей этих вредных приложений появляется впервой примененный приспособление обороны от удаления. Он основан на том, точно троянским apk-файлам присваивается определение «неизменяемый» (immutable). все-таки преступники продолжили улучшать троянцев Xiny так точно добавили в них вероятность внедряться (выполнять инжект) в процессы системных программ, дабы пускать от них имени всевозможные вредные плагины.
Один из подобных освеженных троянцев, исследованный вирусными аналитиками «Доктор Веб», приобрел имя . Он монтируется в системный каталог мобильных механизмов иными представителями семейства . впоследствии пуска извлекает из своих файловых ресурсов немного запасных троянских компонент так точно копирует них в системные каталоги:
/system/xbin/igpi;
/system/lib/igpld.so;
/system/lib/igpfix.so;
/system/framework/igpi.jar.
Далее при поддержке модуля igpi (добавлен в вирусную основание Dr.Web будто только ) троянец делает инжект библиотеки igpld.so (детектируется Dr.Web будто только ) в процессы системных приложений гугл Play (com.android.vending) так точно Сервисы гугл Play (com.google.android.gms, co.google.android.gms.persistent). за исключением того, использование этого вредного модуля умножать производиться так точно в системный процесс zygote, все-таки в текущей версии троянца данная опция перестать используется.
При инфецировании процесса zygote начинает выслеживать пуск новеньких приложений. В результате, в случае в случае коли троянец обнаруживает снова заброшенный процесс, он вводит в него вредный модуль igpi.jar (). данный же модуль внедряется так точно впоследствии инфецирования процессов системных приложений гугл Play так точно Сервисы гугл Play.
Основная задачка модуля igpi.jar – загрузка данных злодеями вредных плагинов так точно них пуск в контексте зараженных программ. Он выслеживает положение мобильного устройства так точно при пришествии конкретных системных обстоятельств (например, включение или же же же же выключение экрана, изменение состояния включения к сети, подключение или же же же же отключение зарядного устройства так точно линия других) соединяется с управляющим сервером, стократ высылает последующую информацию об инфицированном смартфоне или же же же же планшете:
IMEI-идентификатор;
IMSI-идентификатор;
MAC-адрес сетевого адаптера;
версию ОС;
название модели мобильного устройства;
язык системы;
имя программного пакета, снутри процесса коего функционирует троянец.
В отклик умножать завалить так точно забыть вредные плагины, кои впоследствии скачивания будут делать будто только доля такого или же же же же другого атакованного приложения. Вирусные аналитики покамест перестать закрепили распространение подобных вредных модулей, все-таки в случае в случае коли преступники них создадут, станет в силах штурмовать юзеров многих программ. Например, в случае в случае коли троянец внедрится в процесс гугл Play, он сумеет завалить в него модуль для инсталляции ПО. в случае в случае коли станет заражен процесс какого-нибудь мессенджера, приобретет вероятность перехватывать так точно отправлять сообщения. а уж в случае в случае коли троянец внедрится в процесс банковской программы, впоследствии пуска важного плагина он сумеет тянуть секретные заданные (логины, пароли, отель кредитных карт так точно т. п.) так точно в книжка числе неприметно изводить денежки на счета злоумышленников.
Специалисты корпорации «Доктор Веб» продолжают выслеживать энергичность троянцев семейства . Для обороны мобильных механизмов от инфецирования рекомендуется найти антивирусные провизия Dr.Web для Android, кои благополучно детектируют кончено знакомую трансформации этих вредных программ.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости