Трояны Android.Xiny по-прежнему являются почти неудаляемыми и опасны для 25% пользователей

Специалисты «Доктор Веб» сообщают об обнаружении новых образцов семейства троянов Android.Xiny. Эта малварь известна ИБ-экспертам с 2015 года и все еще опасна для пользователей и продолжает развиваться, ведь, по данным Google, 25.2% устройств до сих пор работают под управлением Android 5.1 и ниже, а значит являются отличными мишенями Android.Xiny.

Начиная с самых ранних версий, главная функция трояна Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнерских программах, которые платят за каждую установку. Разработчики малвари активно распространяют подобные трояны через различные сайты – сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play.

Попадая на Android-устройство, малварь семейства Android.Xiny пытается получить root-доступ, чтобы иметь возможность незаметно загружать и устанавливать различное ПО. Кроме того, трояны могут показывать навязчивую рекламу. Одной из особенностей данного семейства малвари с самого начала являлся уникальный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). В итоге попытка удалить приложение выглядела успешной, его данные удалялись, но сам apk-файл оставался на месте. После перезагрузки устройства приложение снова «появлялось».

Теперь, в конце 2019 года исследователи обнаружили новые образцы Android.Xiny, заметив изменения в системном файле /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции.

Исследователи рассказывают, что в настоящее время самозащита трояна складывается из двух частей: его установщик удаляет приложения для управления root-правами, а модифицированная библиотека libc.so не дает установить их снова. Кроме того, эта защита работает и от «конкурентов» — другой малвари, которая получает права root и устанавливается в системный раздел, поскольку они работают по тому же принципу, что и «хорошие» приложения для получения root.

Таким образом, избавиться от новейшего Android.Xiny.5260 сложно, к примеру, для этого можно перепрошить устройство (при условии, что в открытом доступе существует прошивка для него). Но можно удалить малварь и другим способом. Так, для получения root-доступа можно использовать эксплоиты в виде so-библиотек. В отличие от исполняемых файлов, их загрузку троян не блокирует. Также можно воспользоваться компонентом самого трояна, который предназначен для предоставления root-прав другим его частям. Он получает команды через сокет по пути /dev/socket/hs_linux_work201908091350 (в разных модификациях путь может отличаться). Что касается обхода блокировки mount, можно использовать «волшебное» значение параметра mountflags, либо напрямую вызвать соответствующий syscall.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы