Аналитики компании «Доктор Веб» предупредили о появлении новых троянов из семейства Android.Xiny. Теперь малварь может внедряться в процессы системных приложений и загружать в атакуемые программы различные вредоносные плагины.
Исследователи пишут, что наблюдение за троянами семейства Android.Xiny ведется с марта 2015 года. Всё это время малварь активно распространяется через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений.
Попадая на Android-устройство, троян Android.Xiny пытается получить root-доступ, чтобы незаметно загружать и устанавливать различное ПО, а также показывать рекламу. Одной из особенностей данного семейства малвари с самого начала являлся уникальный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable).
Теперь злоумышленники еще усовершенствовали троянов Xiny и добавили в них возможность внедряться (выполнять инжект) в процессы системных программ, чтобы запускать от их имени различные вредоносные плагины.
Один из таких обновленных троянов, исследованный специалистами «Доктор Веб», получил идентификатор Android.Xiny.60. Он устанавливается в системный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает из своих файловых ресурсов несколько вспомогательных троянских компонентов и копирует их в системные каталоги:
- /system/xbin/igpi;
- /system/lib/igpld.so;
- /system/lib/igpfix.so;
- /system/framework/igpi.jar.
Далее при помощи модуля igpi (Android.Xiny.61) троян выполняет инжект библиотеки igpld.so (Android.Xiny.62) в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться и в системный процесс zygote, однако в текущей версии трояна данная функция не используется.
При заражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. В результате, если троян обнаруживает вновь запущенный процесс, он внедряет в него вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется и после заражения процессов системных приложений Google Play и Сервисы Google Play.
Основная задача модуля igpi.jar – загрузка заданных злоумышленниками вредоносных плагинов и их запуск в контексте зараженных программ. Модуль отслеживает состояние мобильного устройства и при наступлении определенных системных событий (например, включение или выключение экрана, изменение состояния подключения к сети, подключение или отключение зарядного устройства и ряд других) соединяется с управляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне или планшете:
- IMEI-идентификатор;
- IMSI-идентификатор;
- MAC-адрес сетевого адаптера;
- версию ОС;
- название модели мобильного устройства;
- язык системы;
- имя программного пакета, внутри процесса которого работает малварь.
В свою очередь Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения. Исследователи пока не фиксировали распространение таких вредоносных модулей, однако если злоумышленники их создадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троян внедрится в процесс Google Play, он сможет загрузить в него модуль для установки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 сможет перехватывать и отправлять сообщения. А если троян внедрится в процесс банковской программы, после запуска необходимого плагина он сможет похищать конфиденциальные данные (логины, пароли, номера кредитных карт и так далее) и даже незаметно переводить деньги на счета злоумышленников.
