Вирусные аналитики фирме «Доктор Веб» нашли вредоносную программу, встроенную в прошивку нескольких мобильных механизмов под управлением ОС Android. Троянец, получивший имя , внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений так как в силах неприметно скачивать так как шибать доборные модули.
Троянцы семейства внедряются в системный процесс ингридиента ОС Android под заглавием Zygote, какой отвечает за старт программ на мобильных устройствах. Благодаря инфецированию Zygote они интегрироуются в процессы всех работающих приложений, приобретают них возможности так как функционируют с ними а уж как цельное целое. засим этого они неприметно скачивают так как запускают разные вредные модули.
В несходство от иных представителей этого семейства, кои для исполнения вредных действий пробуют приобрести root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец встроен в системную библиотеку libandroid_runtime.so. Ее измененная версия была обнаружена немедленно на нескольких мобильных устройствах, посреди коих Leagoo M5 Plus, Leagoo M8, Nomu S10 так как Nomu S20. книгохранилище libandroid_runtime.so применяют всеми Android-приложениями, из-за этого нездоровый код в зараженной системе наличествует в памяти всех запускаемых приложений.
Внедрение в данную библиотеку было выполнено на уровне начального кода. Можно предположить, как к распространению троянца причастны инсайдеры либо нерадивые партнеры, кои участвовали в создании прошивок зараженных мобильных устройств.
встроен в libandroid_runtime.so подобным образом, как он приобретает управление любой раз, когда-либо хоть какое приложение на устройстве делает запись в системный журнал. так как служба Zygote начинает работу наперво иных программ, начальный пуск троянца происходит собственно сквозь нее.
После инициализации вредная программа делает подготовительную настройку ряда параметров, формирует работник каталог так как проверяет, в каком округе она работает. коли троянец работает в среде Dalvik, он перехватывает одинакий из системных методов, как дает возможность ему же выслеживать старт всех приложений так как начинать вредоносную деятельность немедленно засим них старта.
Основная опция — непримечательный пуск добавочных вредных модулей, кои имеют шабаш шансы загружать иные ингридиенты троянца. Для них пуска испытывает присутствие в сотворенной им же раньше рабочей директории особого подкаталога. Его имя подобает держать смысл MD5 имени программного пакета приложения, в процесс коего внедрился троянец. коли находит таковский каталог, он отыскивает в нем файл 32.mmd либо 64.mmd (для 32- так как 64-битных версий операционной системы соответственно). При наличии подобного файла троянец расшифровывает его, предохраняет под именованием libcnfgp.so, засим чего загружает его в оперативную память с применением 1-го из системных способов так как удаляет расшифрованный файл с устройства. коли же вредная программа не делать находит необходимый объект, она отыскивает файл 36.jmd. расшифровывает его, предохраняет под именованием mms-core.jar, запускает при поддержки класса DexClassLoader, засим чего тоже удаляет сотворенную копию.
В итоге в силах насаждать самые разные троянские модули в процессы всех программ так как воздействовать на них работу. Например, вирусописатели имеют шабаш шансы загнать троянцу команду на скачивание так как пуск вредных плагинов для кражи секретной инфы из банковских приложений, модулей для кибершпионажа так как перехвата переписки из покупателей общественных сетей так как интернет-мессенджеров так как т. п.
Кроме того, умножать извлекать из библиотеки libandroid_runtime.so троянский модуль , какой хранится в ней в зашифрованном виде. Его главная опция — загрузка из веба добавочных вредных компонентов, а уж тоже снабжение них взаимодействия желанный с другом.
Поскольку встроен в одну из библиотек операционной системы так как предрасположен в системном разделе, удаление его стандартными способами невозможно. единым достоверным так как безвредным методом борьбы с данным троянцем появляется предписание заранее очищенной прошивки ОС Android. знатоки «Доктор Веб» уведомили производителей скомпрометированных смартфонов об имеющейся проблеме, из-за этого юзерам рекомендуется ввести шабаш вполне вероятные обновления, кои будут выпущены для подобных устройств.
Защитите ваше Android-устройство с поддержкой Dr.Web
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости