2016年12月9日
株式会社Doctor Web Pacific
Android.Loki.16.origin と名付けられたこのトロイの木馬はAndroidデバイス上に密かにソフトウェアをダウンロード・インストールするマルチコンポーネント構造のマルウェアプログラムです。感染プロセスは複数の段階に分かれています。
まず初めに、別の悪意のあるプログラムがモバイルデバイス上に Android.Loki.16.origin をダウンロードし、起動させます。このトロイの木馬はC&Cサーバーに接続し、追加のコンポーネントである Android.Loki.28 と、ルート権限を取得するための複数のエクスプロイトをダウンロードします。ファイルは全てトロイの木馬のフォルダ内に保存されます。 Android.Loki.16.origin はエクスプロイトを1つずつ実行し、権限が昇格されるとモジュール Android.Loki.28 を起動させます。
起動されると Android.Loki.28 は"/system"セクションをマウントし、書き込みによってシステムファイルを改変することができるようにします。次に、追加の悪意のあるコンポーネントである Android.Loki.26 と Android.Loki.27 を本体から抽出し、それぞれシステムディレクトリ"/system/bin/"および"/system/lib/"に保存します。続けて Android.Loki.28 は Android.Loki.27 からのdependency要素をシステムライブラリの1つに追加します。改変されたライブラリは Android.Loki.27 と関連付けられ、OSがライブラリを使用するたびにトロイの木馬が起動されます。以下の画像はトロイの木馬によって加えられた変更の例です:
起動されると、 Android.Loki.27 はルート権限を持ったシステムプロセスからのみ Android.Loki.26 を起動させます。そのため Android.Loki.26 は昇格された権限を持ち、マルウェアプログラムのみでなく、広告モジュールや無害なアプリケーションをも密かにダウンロードすることが可能です。こうして、迷惑な広告を表示させ、アプリケーションのダウンロード件数を増やすことで違法に収益を上げています。
Android.Loki.27 によってシステムコンポーネントが改変されているため、このトロイの木馬を削除するとデバイスが動作しなくなります。再度電源をオンにしても、改変されたライブラリ内でトロイの木馬の依存関係により、Android OSは正常に起動しません。デバイスを再び正常に動作させるには、ファームウェアをアップデートする必要がありますが、そのプロセスによって全ての個人ファイルが削除されてしまいます。アップデートを実行する前に重要なデータ全てのバックアップを取り、状況に応じてテクニカルサポートのスペシャリストに相談することが推奨されます。
Dr.Web for Androidは Android.Loki ファミリーに属する既知の全てのトロイの木馬を検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments