Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web: una nuova versione di Android.Loki infetta librerie di sistema

9 dicembre 2016

Gli analisti dei virus Doctor Web hanno scoperto un nuovo rappresentante della famiglia dei pericolosi trojan Android.Loki di cui abbiamo informato a febbraio 2016. Ugualmente alle versioni precedenti, il programma malevolo rilevato si incorpora nei processi di diverse applicazioni, comprese le applicazioni di sistema, però adesso a questo fine infetta librerie di SO Android.

Il programma malevolo, denominato Android.Loki.16.origin, è un trojan multicomponente. Scarica e installa software di nascosto su dispositivi mobili SO Android. Il trojan infetta smartphone e tablet in più fasi.

In una prima fase Android.Loki.16.origin viene scaricato e avviato sui dispositivi mobili da parte di altri programmi malevoli. Quindi si connette con un server di gestione e scarica il componente malevolo Android.Loki.28 e inoltre alcuni exploit per l'ottenimento dei permessi di root. Tutti questi file vengono salvati nella directory operativa del trojan. Quindi Android.Loki.16.origin esegue alternativamente gli exploit e dopo che vengono aumentati i suoi privilegi di sistema, lancia il modulo Android.Loki.28.

A sua volta dopo l'avvio Android.Loki.28 monta la partizione /system per la registrazione, ottenendo la possibilità di apportare modifiche nei file di sistema. Quindi estrae da sé i componenti malevoli aggiuntivi Android.Loki.26 e Android.Loki.27 e li mette nelle rispettive directory di sistema /system/bin/ e /system/lib/. Quindi il programma malevolo incorpora in una delle librerie di sistema una dipendenza dal componente troja Android.Loki.27. In seguito alla modifica della libreria il modulo malevolo Android.Loki.27 ci si associa e si avvia ogni volta quando la libreria viene impiegata dal sistema operativo. Le immagini sottostanti mostrano un esempio delle modifiche apportate dal programma malevolo:

una nuova versione di Android.Loki infetta librerie di sistema #drweb una nuova versione di Android.Loki infetta librerie di sistema  #drweb una nuova versione di Android.Loki infetta librerie di sistema #drweb una nuova versione di Android.Loki infetta librerie di sistema  #drweb

Una volta avviato, Android.Loki.27 esegue il modulo malevolo Android.Loki.26. Viene avviato soltanto dai processi di sistema che funzionano con i permessi di root. Pertanto, Android.Loki.26 ottiene i privilegi di root e può scaricare, installare e rimuovere applicazioni in modo impercettibile. Tramite questo modulo i criminali informatici scaricano sui dispositivi Android non soltanto altri programmi malevoli, ma anche moduli pubblicitari e software innocui, guadagnando con la visualizzazione di pubblicità indesiderate e con l'aumento artificiale del contatore di installazioni di determinate applicazioni.

Siccome il modulo malevolo Android.Loki.27 modifica componenti di sistema, la sua rimozione provocherà danni al dispositivo mobile infetto. Con le accensioni successive l'SO Android non potrà caricarsi in maniera regolare in quanto non troverà nella libreria modificata la dipendenza corrispondente al trojan. Per ripristinare l'operatività del sistema, occorrerà reinstallare il firmware del dispositivo. Siccome con questo verranno eliminati tutti i file personali, prima di reinstallare il firmware, si consiglia di creare backup dei dati importanti e, se possibile, rivolgersi a uno specialista.

I prodotti antivirus Dr.Web per Android rilevano con successo tutte le varianti conosciute dei trojan della famiglia Android.Loki che quindi non rappresentano alcun rischio per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A