9 de diciembre de 2016

Los analistas de virus de la empresa Doctor Web detectaron al nuevo representante de la familia de troyanos peligrosos Android.Loki, del cual informamos en febrero del año 2016. Al igual que las versiones interiores, el programa nocivo detectado se implementa en procesos de varias aplicaciones, así mismo, de sistema, pero ahora para realizarlo infecta las bibliotecas del SO Android.

El programa nocivo llamado Android.Loki.16.origin es un troyano multicomponente. Descarga e instala el software en dispositivos móviles en Android de forma oculta. El troyano infecta smartphones y tabletas en varias etapas.

En primera etapa, Android.Loki.16.origin se descarga en dispositivos móviles y se inicia por otros programas nocivos. Luego se conecta al servidor de control y descarga del mismo el componente nocivo Android.Loki.28, así como varios exploits para obtener acceso root. Todos estos archivos se guardan en el catálogo de trabajo del troyano. Luego Android.Loki.16.origin ejecuta los exploits de forma consecutiva y, una vez mejorados los privilegios del sistema Android.Loki.28.

A su vez, Android.Loki.28, una vez iniciado, monta la sección /system para escritura para tener posibilidad de realizar cambios en archivos de sistema. Luego extrae de sí mismo los componentes nocivos extra Android.Loki.26 y Android.Loki.27 y los coloca en catálogos de sistema /system/bin/ и /system/lib/ respectivamente. Luego el programa nocivo implementa la dependencia del componente troyano Android.Loki.27 en una de las bibliotecas del sistema. Una vez modificada la biblioteca, el módulo nocivo Android.Loki.27 se vincula a la misma y se inicia cada vez que el sistema operativo la usa. En las figuras más abajo puede consultarse un ejemplo de cambios realizado por el programa nocivo:

Al iniciarse, Android.Loki.27 ejecuta el módulo nocivo Android.Loki.26. Se puede iniciarlo solo desde procesos del sistema que funcionan con permisos root. De esta forma, Android.Loki.26 obtiene los permisos root y puede descargar, instalar y desinstalar aplicaciones de forma oculta. Usando este módulo, los ciberdelincuentes descargan en dispositivos en Android no solamente otros programas nocivos, sino también los módulos de publicidad o el software inofensivo, beneficiándose de visualizaciones de publicidad importuna o de falsificar la mejora de los resultados del contador de instalaciones de aplicaciones determinadas.

Como el módulo nocivo Android.Loki.27 cambia los componentes del sistema, su desinstalación dañará el dispositivo móvil infectado. Posteriormente, al iniciarse, el SO Android no podrá cargarse correctamente porque no encontrará en la biblioteca infectada la dependencia que corresponda al troyano. Para recuperar el sistema, habrá que cambiar el firmware del dispositivo. Como así mismo todos los archivos personales serán borrados, antes de cambiar el firmware se recomienda crear copias de seguridad de los datos importantes y en caso necesario acudir a un experto.

Los productos antivirus Dr.Web para Android detectan correctamente todas las modificaciones conocidas de troyanos de la familia Android.Loki, por lo tanto, no son de amenaza para nuestros usuarios.

Más información sobre el troyano