I trojan Android hanno imparato a incorporarsi in processi di sistema

5 febbraio 2016

L'architettura dei programmi malevoli per la piattaforma mobile Android diventa sempre più complessa con il passare degli anni: e se i primi trojan erano delle applicazioni abbastanza primitive, adesso tali malware sono a livello dei trojan Windows più progrediti. A febbraio 2016 gli specialisti Doctor Web hanno rilevato un intero completo di applicazioni malevole per SO Android che dispongono di una vasta gamma di funzioni.

Questo set è composto da tre trojan che agiscono unitamente e che abbiamo denominato Android.Loki.1.origin, Android.Loki.2.origin e Android.Loki.3. Il primo dei malware elencati viene scaricato tramite la libreria liblokih.so, la quale l'Antivirus Dr.Web per Android conosce sotto il nome di Android.Loki.6. Questa libreria viene incorporata in uno dei processi di sistema da parte del trojan Android.Loki.3 — come risultato Android.Loki.1.origin ha la possibilità di funzionare nel sistema con i privilegi dell'utente "system". Android.Loki.1.origin è un servizio che dispone di una vasta linea di funzioni: per esempio il trojan può scaricare qualsiasi app dalla directory ufficiale Google Play tramite un apposito link che contiene le indicazioni di un account di un partner program, grazie a cui i malintenzionati hanno l'opportunità di guadagnare. Tra le altre possibilità di Android.Loki.1.origin vanno segnalate le seguenti, ovvero può:

• installare e rimuovere applicazioni;
• attivare e disattivare applicazioni e dei loro componenti;
• terminare processi;
• visualizzare avvisi;
• registrare applicazioni come Accessibility Service (un servizio che monitora i tocchi dello schermo del dispositivo);
• aggiornare i propri componenti, nonché scaricare plugin su comando dal server di gestione.

Il secondo programma malevolo dal completo rilevato dagli analisti Doctor Web — ovvero Android.Loki.2.origin — è studiato per installare diverse applicazioni sul dispositivo compromesso su comando dal server di gestione, nonché per mostrare annunci. Questo trojan possiede anche le funzioni spione e dopo che è stato avviato, raccoglie e manda ai malintenzionati le seguenti informazioni:

• IMEI del dispositivo infetto;
• IMSI del dispositivo infetto;
• indirizzo mac del dispositivo infetto;
• identificativo MCC (Mobile Country Code) — codice mobile di paese;
• identificatore MNC (Mobile Network Code) — codice di rete mobile;
• versione del SO installato sul dispositivo infetto;
• valore di risoluzione dello schermo;
• dati circa la memoria operativa (il volume generale e il volume libero);
• versione del kernel del SO;
• dati circa il modello del dispositivo;
• dati circa il produttore del dispositivo;
• versione del firmware;
• numero di serie del dispositivo.

Dopo aver spedito queste informazioni sul server di controllo, il trojan ottiene come risposta un file di configurazione che contiene i dati necessari per il funzionamento. A intervalli di tempo regolari Android.Loki.2.origin si connette al server di gestione per ottenere task e durante ogni sessione di comunicazione trasmette ai malintenzionati in aggiunta i seguenti dati:

• versione del file di configurazione;
• versione del service realizzato dal trojan Android.Loki.1.origin;
• lingua del sistema operativo;
• paese specificato nelle impostazioni del sistema operativo;
• informazioni sull'account dell'utente nei servizi Google.

Dal server Android.Loki.2.origin ottiene un task per installare qualche applicazione (le app possono essere scaricate anche da Google Play) o per visualizzare pubblicità. Se l'utente fa clic su un avviso visualizzato dal trojan, il dispositivo viene reindirizzato su un determinato sito, o un'applicazione viene installata. Inoltre, su comando dei criminali informatici Android.Loki.2.origin manda sul server di controllo le seguenti informazioni:

• lista delle applicazioni installate;
• cronologia del browser;
• lista dei contatti dell'utente;
• cronologia delle chiamate;
• posizione attuale del dispositivo.

Infine, Android.Loki.3 svolge sul dispositivo compromesso due funzioni: incorpora la libreria liblokih.so nel processo del servizio di sistema system_server ed esegue a nome del superutente (root) dei comandi che provengono dagli altri trojan della famiglia Android.Loki. De fatto, Android.Loki.3 svolge il ruolo del server per l'esecuzione di script shell: i criminali informatici trasmettono al trojan il percorso di uno script da eseguire e Android.Loki.3 lancia questo script.

Siccome i trojan della famiglia Android.Loki mettono una parte dei loro componenti nelle cartelle di sistema di SO Android, a cui un programma antivirus non può accedere, quando sul dispositivo viene rilevato uno di tali programmi malevoli, il metodo migliore per eliminare le conseguenze dell'infezione consiste in una reinstallazione del firmware del dispositivo con utilizzo di un'immagine originale del SO. Prima di iniziare questa procedura, è consigliato fare un backup di tutte le informazioni importanti conservate sullo smartphone o sul tablet infetto, mentre agli utenti con una minore esperienza è consigliato affidare questa manipolazione a uno specialista.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk