News

Loki, il Trojan multilivello che si insinua fin nel “midollo” di Android

È stata resa nota la comparsa di una nuova variante del malware Android.Loki, destinato ai dispositivi mobile. Android.Loki ha fatto parlare di sè, per la prima volta, nello scorso mese di febbraio; la versione attuale, individuata dagli analisti di virus di Dr. Web, infetta, però, le librerie di sistema Android.

Android.Loki è un Trojan costituito da molteplici componenti, in grado di infettare il dispositivo in varie fasi. Inizialmente, esso viene caricato sul device; un altro programma malware ne lancia poi l’esecuzione. Con il primo avvio, il malware stabilisce una connessione con il server utilizzato per l’attacco, per poi scaricare il componente nocivo Android.Loki.28 ed una serie di exploit, necessari per ottenere l’accesso di root. Una volta eseguiti gli exploit, il Trojan innalza i propri privilegi ed avvia l’esecuzione del modulo Android.Loki.28.

Dopo essere stato lanciato, Android.Loki.28 modifica la partizione /system, consentendo la scrittura dei file. In tal modo, il malware ha la possibilità di apportare modifiche ai file di sistema. In seguito, Loki estrae da se stesso ulteriori componenti, Android.Loki.26 e Android.Loki.27, e colloca questi ultimi nelle directory /system/bin/ e /system/lib/. Una volta modificata la libreria, il modulo Android.Loki.27 si “attacca” a quest’ultima, per poi avviarsi ogni volta che il sistema operativo si rivolge alla stessa.

Android.Loki.27, a sua volta, lancia l’esecuzione del modulo dannoso Android.Loki.26 dai processi di sistema che offrono l’accesso di root. In tal modo, Android.Loki.26 innalza i propri privilegi sino al root, acquisendo così la capacità di scaricare, installare e rimuovere applicazioni, sia dannose che pubblicitarie, all’insaputa dell’utente. Queste ultime, ad esempio, consentono ai malintenzionati di poter realizzare dei profitti attraverso le pubblicità mostrate, oppure “gonfiando” i valori presenti sui contatori applicati all’installazione di determinate app. Per ora, il risultato prodotto dall’infezione Loki è costituito solo dalla visualizzazione di fastidiose réclame; tuttavia, se la nuova versione verrà utilizzata per distribuire e installare banker e ransomware, il malware in causa diverrà un problema davvero serio.

Per gli utenti, purtroppo, non è così semplice sbarazzarsi di Loki. In effetti, il modulo nocivo Android.Loki.27 si introduce in profondità, nei componenti di sistema: una delle librerie di sistema critiche, una volta modificata, risulta correlata al Trojan, e se l’OS Android, nella fase di avvio, non trova tale elemento nella libreria, non potrà di fatto essere caricato; questo, ovviamente, causa problemi di malfunzionamento del dispositivo. Per ripristinare il corretto funzionamento del device, occorrerà eseguire il flashing dello stesso; verranno così persi tutti i dati.

Fonte: Threatpost

Loki, il Trojan multilivello che si insinua fin nel “midollo” di Android

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox