Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

電話

+7 (495) 789-45-86

フォーラム(英語)
Profile

ニュース一覧に戻る

Doctor Web、システムライブラリを感染させるAndroid.Lokiの新たな亜種を発見

2016年12月9日

株式会社Doctor Web Pacific


Doctor Webのセキュリティリサーチャーは、トロイの木馬 Android.Loki ファミリーに属する新たな亜種を発見しました。このトロイの木馬ファミリーについては2016年2月の記事にて既報のとおりです。前回のバージョンと同様、このトロイの木馬はシステム・アプリケーションを含む様々なアプリケーション内に自身を挿入します。ただし、この新しいバージョンはAndroidライブラリも感染させることが可能です。

Android.Loki.16.origin と名付けられたこのトロイの木馬はAndroidデバイス上に密かにソフトウェアをダウンロード・インストールするマルチコンポーネント構造のマルウェアプログラムです。感染プロセスは複数の段階に分かれています。

まず初めに、別の悪意のあるプログラムがモバイルデバイス上に Android.Loki.16.origin をダウンロードし、起動させます。このトロイの木馬はC&Cサーバーに接続し、追加のコンポーネントである Android.Loki.28 と、ルート権限を取得するための複数のエクスプロイトをダウンロードします。ファイルは全てトロイの木馬のフォルダ内に保存されます。 Android.Loki.16.origin はエクスプロイトを1つずつ実行し、権限が昇格されるとモジュール Android.Loki.28 を起動させます。

起動されると Android.Loki.28 は"/system"セクションをマウントし、書き込みによってシステムファイルを改変することができるようにします。次に、追加の悪意のあるコンポーネントである Android.Loki.26Android.Loki.27 を本体から抽出し、それぞれシステムディレクトリ"/system/bin/"および"/system/lib/"に保存します。続けて Android.Loki.28Android.Loki.27 からのdependency要素をシステムライブラリの1つに追加します。改変されたライブラリは Android.Loki.27 と関連付けられ、OSがライブラリを使用するたびにトロイの木馬が起動されます。以下の画像はトロイの木馬によって加えられた変更の例です:

Doctor Web discovers new versions of Android.Loki that infect system libraries #drweb Doctor Web discovers new versions of Android.Loki that infect system libraries #drweb

起動されると、 Android.Loki.27 はルート権限を持ったシステムプロセスからのみ Android.Loki.26 を起動させます。そのため Android.Loki.26 は昇格された権限を持ち、マルウェアプログラムのみでなく、広告モジュールや無害なアプリケーションをも密かにダウンロードすることが可能です。こうして、迷惑な広告を表示させ、アプリケーションのダウンロード件数を増やすことで違法に収益を上げています。

Android.Loki.27 によってシステムコンポーネントが改変されているため、このトロイの木馬を削除するとデバイスが動作しなくなります。再度電源をオンにしても、改変されたライブラリ内でトロイの木馬の依存関係により、Android OSは正常に起動しません。デバイスを再び正常に動作させるには、ファームウェアをアップデートする必要がありますが、そのプロセスによって全ての個人ファイルが削除されてしまいます。アップデートを実行する前に重要なデータ全てのバックアップを取り、状況に応じてテクニカルサポートのスペシャリストに相談することが推奨されます。

Dr.Web for Androidは Android.Loki ファミリーに属する既知の全てのトロイの木馬を検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F