"Доктор Веб" предупреждает о появлении комплекта действующих совместно вредоносных программ для платформы Android, обладающих широчайшими функциональными возможностями

Набор состоит из трёх троянов - Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3, сообщают "Комментарии".

Первый из них загружается с помощью библиотеки liblokih.so, которая внедряется в один из системных процессов зловредом Android.Loki.3. В результате для вредоносной программы обеспечивается возможность действовать с привилегиями пользователя System.

Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троян может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учётную запись той или иной партнёрской программы, благодаря чему злоумышленники получают возможность извлекать доход. Кроме того, троян может устанавливать и удалять приложения, останавливать процессы, демонстрировать уведомления и пр.

Второй зловред из набора - Android.Loki.2.origin - предназначен для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Кроме того, этот троян обладает развитыми шпионскими возможностями.

Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянов семейства. Фактически, этот зловред играет роль сервера для выполнения шелл-скриптов: киберпреступники передают трояну путь к сценарию, который следует выполнить, и программа запускает этот скрипт.