Vielschichtiger Loki dringt tiefer in Android ein

Das Erscheinen einer neuen Variante des Schädlings Android.Locki für mobile Geräte ist nun bekannt geworden. Android.Loki machte erstmals im Februar von sich reden, doch die aktuelle Version, die von den Virenanalysten bei Dr. Web entdeckt wurde, infiziert die Systembibliotheken von Android.

Android.Loki ist ein aus vielen Komponenten bestehender Trojaner, der das Gerät in mehreren Etappen infiziert. Zunächst wird er auf das Gerät geladen, dann startet ihn ein Schadprogramm. Mit dem Erststart installiert der Schädling die Kommunikation mit dem Angriffsserver und lädt die Schadkomponente Android.Loki.28 sowie eine Reihe von Exploits, die für den Erhalt des Root-Zugriffs unerlässlich sind. Nachdem die Exploits ausgeführt wurden, erhöht der Trojaner die Privilegien und startet das Modul Android.Loki.28.

Nach dem Start modifiziert Android.Loki.28 den Systembereich /system, indem er das Aufzeichnen von Dateien erlaubt. Auf diese Weise erhält der Schädling die Möglichkeit, Veränderungen an den Systemdateien vorzunehmen. Locky extrahiert die zusätzlichen Komponenten Android.Loki.26 und Android.Loki.27, um sie in den Systemverzeichnissen /system/bin/ und /system/lib/ unterzubringen. Nach der Modifikation der Bibliothek verbindet sich das Modul Android.Loki.27 mit ihr und wird jedes Mal gestartet, wenn das Betriebssystem mit ihr kommuniziert.

Android.Loki.27 wiederum startet das Schadmodul Android.Loki.26 aus den Systemprozessen, die Root-Zugriff vorsehen. Android.Loki.26 erhöht auf diese Weise die Privilegien auf Root-Rechte und erhält so die Möglichkeit, ohne Wissen des Anwenders, Apps zu laden, zu installieren und zu löschen, sowohl schädliche Applikationen als auch Werbeanwendungen. Mit den Letztgenannten können Cyberkriminelle beispielsweise Geld mit dem Anzeigen von Werbung oder dem Hochtreiben des Zählers von Installationen bestimmter Apps verdienen. Bisher bestehen die Folgen einer Loki-Infektion lediglich im Anzeigen lästiger Werbung, doch wenn die neue Version für die Verteilung und Installation von Banken- oder Erpresserschädlingen verwendet wird, wird dieses Schadprogramm zu einem ernsthaften Problem werden.

Zum Leidwesen der Nutzer ist es nicht einfach, Loki wieder loszuwerden. Das schädliche Modul Android.Loki.27 dringt sehr tief in die Systemkomponenten ein — eine der kritischen Systembibliotheken verfügt über ein Abhängigkeit vom Trojaner, aber wenn das Betriebssystem Android beim Start diese Abhängigkeit nicht findet, so kann es nicht geladen werden, was wiederum zu einem Gerätedefekt führt. Um die Funktionsfähigkeit des Gerätes wiederherzustellen, müssen die Systemdateien überschrieben werden, wobei alle Daten verloren gehen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.