9 dicembre 2016

Gli analisti dei virus Doctor Web hanno scoperto un nuovo rappresentante della famiglia dei pericolosi trojan Android.Loki di cui abbiamo informato a febbraio 2016. Ugualmente alle versioni precedenti, il programma malevolo rilevato si incorpora nei processi di diverse applicazioni, comprese le applicazioni di sistema, però adesso a questo fine infetta librerie di SO Android.

Il programma malevolo, denominato Android.Loki.16.origin, è un trojan multicomponente. Scarica e installa software di nascosto su dispositivi mobili SO Android. Il trojan infetta smartphone e tablet in più fasi.

In una prima fase Android.Loki.16.origin viene scaricato e avviato sui dispositivi mobili da parte di altri programmi malevoli. Quindi si connette con un server di gestione e scarica il componente malevolo Android.Loki.28 e inoltre alcuni exploit per l'ottenimento dei permessi di root. Tutti questi file vengono salvati nella directory operativa del trojan. Quindi Android.Loki.16.origin esegue alternativamente gli exploit e dopo che vengono aumentati i suoi privilegi di sistema, lancia il modulo Android.Loki.28.

A sua volta dopo l'avvio Android.Loki.28 monta la partizione /system per la registrazione, ottenendo la possibilità di apportare modifiche nei file di sistema. Quindi estrae da sé i componenti malevoli aggiuntivi Android.Loki.26 e Android.Loki.27 e li mette nelle rispettive directory di sistema /system/bin/ e /system/lib/. Quindi il programma malevolo incorpora in una delle librerie di sistema una dipendenza dal componente troja Android.Loki.27. In seguito alla modifica della libreria il modulo malevolo Android.Loki.27 ci si associa e si avvia ogni volta quando la libreria viene impiegata dal sistema operativo. Le immagini sottostanti mostrano un esempio delle modifiche apportate dal programma malevolo:

Una volta avviato, Android.Loki.27 esegue il modulo malevolo Android.Loki.26. Viene avviato soltanto dai processi di sistema che funzionano con i permessi di root. Pertanto, Android.Loki.26 ottiene i privilegi di root e può scaricare, installare e rimuovere applicazioni in modo impercettibile. Tramite questo modulo i criminali informatici scaricano sui dispositivi Android non soltanto altri programmi malevoli, ma anche moduli pubblicitari e software innocui, guadagnando con la visualizzazione di pubblicità indesiderate e con l'aumento artificiale del contatore di installazioni di determinate applicazioni.

Siccome il modulo malevolo Android.Loki.27 modifica componenti di sistema, la sua rimozione provocherà danni al dispositivo mobile infetto. Con le accensioni successive l'SO Android non potrà caricarsi in maniera regolare in quanto non troverà nella libreria modificata la dipendenza corrispondente al trojan. Per ripristinare l'operatività del sistema, occorrerà reinstallare il firmware del dispositivo. Siccome con questo verranno eliminati tutti i file personali, prima di reinstallare il firmware, si consiglia di creare backup dei dati importanti e, se possibile, rivolgersi a uno specialista.

I prodotti antivirus Dr.Web per Android rilevano con successo tutte le varianti conosciute dei trojan della famiglia Android.Loki che quindi non rappresentano alcun rischio per i nostri utenti.

Informazioni sul trojan