¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Demo gratis
Dr.Web para Android

Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas

Llamar

+7 (495) 789-45-86

Foro

Sus solicitudes

  • Todas:
  • No cerradas:
  • Última: -

Llamar

+7 (495) 789-45-86

Perfil

Volver a las noticias

Doctor Web: la nueva versión del troyano Android.Loki infecta las bibliotecas del sistema

9 de diciembre de 2016

Los analistas de virus de la empresa Doctor Web detectaron al nuevo representante de la familia de troyanos peligrosos Android.Loki, del cual informamos en febrero del año 2016. Al igual que las versiones interiores, el programa nocivo detectado se implementa en procesos de varias aplicaciones, así mismo, de sistema, pero ahora para realizarlo infecta las bibliotecas del SO Android.

El programa nocivo llamado Android.Loki.16.origin es un troyano multicomponente. Descarga e instala el software en dispositivos móviles en Android de forma oculta. El troyano infecta smartphones y tabletas en varias etapas.

En primera etapa, Android.Loki.16.origin se descarga en dispositivos móviles y se inicia por otros programas nocivos. Luego se conecta al servidor de control y descarga del mismo el componente nocivo Android.Loki.28, así como varios exploits para obtener acceso root. Todos estos archivos se guardan en el catálogo de trabajo del troyano. Luego Android.Loki.16.origin ejecuta los exploits de forma consecutiva y, una vez mejorados los privilegios del sistema Android.Loki.28.

A su vez, Android.Loki.28, una vez iniciado, monta la sección /system para escritura para tener posibilidad de realizar cambios en archivos de sistema. Luego extrae de sí mismo los componentes nocivos extra Android.Loki.26 y Android.Loki.27 y los coloca en catálogos de sistema /system/bin/ и /system/lib/ respectivamente. Luego el programa nocivo implementa la dependencia del componente troyano Android.Loki.27 en una de las bibliotecas del sistema. Una vez modificada la biblioteca, el módulo nocivo Android.Loki.27 se vincula a la misma y se inicia cada vez que el sistema operativo la usa. En las figuras más abajo puede consultarse un ejemplo de cambios realizado por el programa nocivo:

Doctor Web: la nueva versión del troyano Android.Loki infecta las bibliotecas del sistema  #drweb Doctor Web: la nueva versión del troyano Android.Loki infecta las bibliotecas del sistema  #drweb

Al iniciarse, Android.Loki.27 ejecuta el módulo nocivo Android.Loki.26. Se puede iniciarlo solo desde procesos del sistema que funcionan con permisos root. De esta forma, Android.Loki.26 obtiene los permisos root y puede descargar, instalar y desinstalar aplicaciones de forma oculta. Usando este módulo, los ciberdelincuentes descargan en dispositivos en Android no solamente otros programas nocivos, sino también los módulos de publicidad o el software inofensivo, beneficiándose de visualizaciones de publicidad importuna o de falsificar la mejora de los resultados del contador de instalaciones de aplicaciones determinadas.

Como el módulo nocivo Android.Loki.27 cambia los componentes del sistema, su desinstalación dañará el dispositivo móvil infectado. Posteriormente, al iniciarse, el SO Android no podrá cargarse correctamente porque no encontrará en la biblioteca infectada la dependencia que corresponda al troyano. Para recuperar el sistema, habrá que cambiar el firmware del dispositivo. Como así mismo todos los archivos personales serán borrados, antes de cambiar el firmware se recomienda crear copias de seguridad de los datos importantes y en caso necesario acudir a un experto.

Los productos antivirus Dr.Web para Android detectan correctamente todas las modificaciones conocidas de troyanos de la familia Android.Loki, por lo tanto, no son de amenaza para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2017

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А