Методы обнаружения вирусов

20 сентября 2016 года

Вирусные аналитики фирмы «Доктор Веб» нашли новейшие версии троянцев семейства Android.Xiny, кои специализированы для неприметной загрузки так чисто удаления программ. сейчас эти троянцы имеют точка шансы внедряться в процессы системных приложений так чисто загружать в атакуемые программы всевозможные вредные плагины.

Троянцы семейства Android.Xiny популярны с марта 2015 года. Вирусописатели деятельно распространяют них спустя всевозможные веб-сайты – сборники ПО для мобильных механизмов так чисто в фолиант числе спустя официальные сборники приложений, подобные как-нибудь гугл Play, о чем корпорация «Доктор Веб» сообщала ранее.

Попадая на Android-смартфоны так чисто планшеты, троянцы Android.Xiny стараются приобрести root-доступ, для того, чтоб неприметно загружать так чисто ставить всевозможное ПО. помимо того, они имеют точка шансы демонстрировать назойливую рекламу. Одной из индивидуальностей этих вредных приложений появляется впервинку примененный приспособление обороны от удаления. Он основан на том, чисто троянским apk-файлам присваивается определение «неизменяемый» (immutable). тем закончить менее преступники продолжили улучшать троянцев Xiny так чисто добавили в них вероятность внедряться (выполнять инжект) в процессы системных программ, для того, чтоб метать от них имени всевозможные вредные плагины.

Один из подобных освеженных троянцев, исследованный вирусными аналитиками «Доктор Веб», приобрел имя Android.Xiny.60. Он монтируется в системный каталог мобильных механизмов альтернативными представителями семейства Android.Xiny. затем пуска Android.Xiny.60 извлекает из своих файловых ресурсов малость запасных троянских компонент так чисто копирует них в системные каталоги:

  • /system/xbin/igpi;
  • /system/lib/igpld.so;
  • /system/lib/igpfix.so;
  • /system/framework/igpi.jar.

Далее при поддержке модуля igpi (добавлен в вирусную основание Dr.Web как-нибудь Android.Xiny.61) троянец делает инжект библиотеки igpld.so (детектируется Dr.Web как-нибудь Android.Xiny.62) в процессы системных приложений гугл Play (com.android.vending) так чисто Сервисы гугл Play (com.google.android.gms, co.google.android.gms.persistent). помимо того, использование этого вредного модуля умножать производиться так чисто в системный процесс zygote, тем закончить менее в текущей версии троянца данная опция закончить используется.

При инфецировании процесса zygote Android.Xiny.62 начинает выслеживать пуск новеньких приложений. В результате, в случае в случае коли троянец обнаруживает опять-таки заброшенный процесс, он вводит в него нездоровый модуль igpi.jar (Android.Xiny.60). настоящий же модуль внедряется так чисто затем инфецирования процессов системных приложений гугл Play так чисто Сервисы гугл Play.

screen #drweb

Основная проблема модуля igpi.jar – загрузка данных злодеями вредных плагинов так чисто них пуск в контексте зараженных программ. Он выслеживает положение мобильного устройства так чисто при пришествии конкретных системных обстоятельств (например, включение либо же выключение экрана, изменение состояния включения к сети, подключение либо же отключение зарядного устройства так чисто линия других) соединяется с управляющим сервером, намного посылает надлежащую информацию об инфицированном смартфоне либо же планшете:

  • IMEI-идентификатор;
  • IMSI-идентификатор;
  • MAC-адрес сетевого адаптера;
  • версию ОС;
  • название модели мобильного устройства;
  • язык системы;
  • имя программного пакета, снутри процесса коего ишачит троянец.

В отголосок Android.Xiny.60 умножать навалить так чисто забыть вредные плагины, кои затем скачивания будут ишачить как-нибудь доля такого либо же другого атакованного приложения. Вирусные аналитики покамест закончить закрепили распространение подобных вредных модулей, тем закончить менее в случае в случае коли преступники них создадут, Android.Xiny.60 полноте в силах нападать юзеров многих программ. Например, в случае в случае коли троянец внедрится в процесс гугл Play, он сумеет навалить в него модуль для инсталляции ПО. в случае в случае коли полноте заражен процесс какого-нибудь мессенджера, Android.Xiny.60 приобретет вероятность перехватывать так чисто отправлять сообщения. а уж в случае в случае коли троянец внедрится в процесс банковской программы, затем пуска важного плагина он сумеет таскать секретные заданные (логины, пароли, отель кредитных карт так чисто т. п.) так чисто в фолиант числе неприметно тратить средства на счета злоумышленников.

Специалисты фирмы «Доктор Веб» продолжают выслеживать энергичность троянцев семейства Android.Xiny. Для обороны мобильных механизмов от инфецирования рекомендуется определить антивирусные провиант Dr.Web для Android, кои удачно детектируют точка знакомую гибриды этих вредных программ.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web