В феврале сего года специалисты компании «Доктор Веб» обнаружили «набор» вредоносных приложений для операционной системы Android, обладающих большими возможностями, а по своей «эффективности», не уступающие десктопным вирусам. В частности, речь идет о троянцах, которым «Доктор Веб» присвоил скандинавские имена – Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно.

Первый использует для загрузки библиотеку liblokih.so, которую мобильный Dr.Web определяет, как Android.Loki.6. В свою очередь библиотека внедряется в системные процессы посредством троянца Android.Loki.3, после чего Android.Loki.1.origin получает право действовать в системе с правами пользователя system. При этом последний является службой, которая может, например, скачать из Google Play любое приложение с помощью специальной ссылки, переадресующей на учетную запись той или иной партнерской программы. В результате злоумышленник сможет получать стабильный доход, а также попутно удалять любые непонравившиеся приложения на смартфоне жертвы, а также демонстрировать различные уведомления.

Второй «товарищ» – Android.Loki.2.origin – способен устанавливать на мобильное устройство любые приложения по команде с управляющего сервера и демонстрировать пользователю рекламу. При этом троянец может шпионить, отправляя своему хозяину IMEI, IMSI и mac-адрес зараженного смартфона, а также полную информацию о железе и MCC/ MNC-идентификаторы. После отправки «секретных» данных на управляющий сервер, в ответ Android.Loki.2.origin получает файл конфигурации, необходимый ему для дальнейшей работы. Таким образом, «злодей» получает задания и всячески пакостит на зараженном устройстве, например, засыпает рекламой, а также передает удаленно историю браузера, звонков, списки контактов и текущее местоположение смартфона.

Есть и Android.Loki.3, который внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды с root-правами. Последние поступают от других троянцев семейства Android.Loki, то есть третий Loki, по сути, выступает в роли сервера. Таким образом злоумышленники передают троянцу путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт. Напрашивается закономерный вопрос – как с этим всем бороться? «Доктор Веб» предлагает только один способ – перепрошить смартфон с помощью оригинального образа ОС. А, что поделаешь, ведь троянцы внедряются в системные папки, к которым у антивирусной программы нет доступа.