Categorie: News

Android.loki, i Trojan arrivano su Android

Anche su Android arrivano i Trojan, famosi virus che attacano i pc

Anche su Android arrivano i Trojan, una classe di virus famosa per attaccare i pc Windows. A darne notizia Dr.WEB, un produttore di antivirus russo, che ha trovato un Trojan con una complicata architettura che prende possesso dei permessi di root del device Android.

I Trojan sono tristemente famosi per attaccare i personal computer, ora, sembra stiano attaccando anche il sistema operativo di Mountain View. L’architettura del virus è articolata in quattro versioni differenti, si chiama Android.Loki. Questa classe di Trojan ha la capacità di iniettarsi all’interno del processo di sistema ed ottenere i permessi di root.

Quattro diversi Trojan lavorano insieme

Quattro versioni differenti sono state rilevate fino ad ora: Android.Loki.1.origin, Android.Loki.2.origin, Android.Loki.3 e Android.Loki.6 tutte con capacità diverse e sembra lavorino insieme per infettare i bersagli. Secondo l’analisi di Dr.Web per ogni famiglia, Android.Loki.3 è il componente principale, con il compito di integrare la libreria liblokih.so (Android.Loki.6) nel processo system_server.

Ottenuti i privilegi di root, Android.Loki.3 andrà a caricare Android.Loki.2.origin, che può raccogliere informazioni su ogni dispositivo infetto. Android.Loki.2.origin raccoglierà dati come

  • IMEI, IMSI, MCC (Mobile Country Code), MNC (Mobile Network Code);
  • l’indirizzo MAC;
  • la versione del sistema operativo, la risoluzione dello schermo, marca e modello del dispositivo,
  • il numero di serie e tanti altri particolari.

Android.Loki.2.origin include anche alcune caratteristiche di tipo spyware. Questo vuol dire che il Trojan può anche ottenere l’elenco delle applicazioni, la cronologia del browser, l’elenco dei contatti, la cronologia delle chiamate e la posizione geografica del telefono.

Android.Loki installa segretamente app per guadare denaro

Qui entra in gioco Android.Loki.1.origin. Se il server C&C (Control&Command) ritiene il dispositivo un obiettivo di valore, questa variante Trojan sarà utilizzata per costringere il device a scaricare di nascosto i file dal Play Store o da store di terze parti.

Utilizzando i privilegi di root del Trojan, le applicazioni verranno installate senza chiedere conferma all’utente. Inoltre, Android.Loki.1.origin può anche cancellare altre applicazioni, arrestare i processi e visualizzare notifiche ingannevoli sul dispositivo.

Ovviamente, tutte queste operazioni vengono eseguite come parte di un programma di affiliazione che permette al proprietario del Trojan di ottenere guadagni monetari dall’installazione delle applicazioni indesiderate sul dispositivo dell’utente come parte di un programma di affiliazione pay-per-click.

I produttori di virus continuano a complicare l’architettura di programmi maligni per Android,” hanno affermati i ricercatori di Dr.Web. “I primi campioni avevano una struttura piuttosto primitiva, ma le controparti odierne, viceversa, sono quasi uguali ai famosi Trojan per Windows“.

L’utente che dovesse incappare in tale tipo di virus non potrà fare altro che effettuare un flash del firmware originale per poter tornare ad utilizzare tranquillamente il proprio device. È interessante, comunque, notare come i virus, in questo caso i Trojan, si stiano evolvendo, segno che la sicurezza di Android non è poi così facilmente violabile come spesso si è portati a credere sia un sistema open source.

Condividi
Pubblicato da
Gianni Fiore