Loki, il Trojan multilivello che si insinua fin nel “midollo” di Android

È stata resa nota la comparsa di una nuova variante del malware Android.Loki, destinato ai dispositivi mobile. Android.Loki ha fatto parlare di sè, per la prima volta, nello scorso mese di febbraio; la versione attuale, individuata dagli analisti di virus di Dr. Web, infetta, però, le librerie di sistema Android.

Android.Loki è un Trojan costituito da molteplici componenti, in grado di infettare il dispositivo in varie fasi. Inizialmente, esso viene caricato sul device; un altro programma malware ne lancia poi l’esecuzione. Con il primo avvio, il malware stabilisce una connessione con il server utilizzato per l’attacco, per poi scaricare il componente nocivo Android.Loki.28 ed una serie di exploit, necessari per ottenere l’accesso di root. Una volta eseguiti gli exploit, il Trojan innalza i propri privilegi ed avvia l’esecuzione del modulo Android.Loki.28.

Dopo essere stato lanciato, Android.Loki.28 modifica la partizione /system, consentendo la scrittura dei file. In tal modo, il malware ha la possibilità di apportare modifiche ai file di sistema. In seguito, Loki estrae da se stesso ulteriori componenti, Android.Loki.26 e Android.Loki.27, e colloca questi ultimi nelle directory /system/bin/ e /system/lib/. Una volta modificata la libreria, il modulo Android.Loki.27 si “attacca” a quest’ultima, per poi avviarsi ogni volta che il sistema operativo si rivolge alla stessa.

Android.Loki.27, a sua volta, lancia l’esecuzione del modulo dannoso Android.Loki.26 dai processi di sistema che offrono l’accesso di root. In tal modo, Android.Loki.26 innalza i propri privilegi sino al root, acquisendo così la capacità di scaricare, installare e rimuovere applicazioni, sia dannose che pubblicitarie, all’insaputa dell’utente. Queste ultime, ad esempio, consentono ai malintenzionati di poter realizzare dei profitti attraverso le pubblicità mostrate, oppure “gonfiando” i valori presenti sui contatori applicati all’installazione di determinate app. Per ora, il risultato prodotto dall’infezione Loki è costituito solo dalla visualizzazione di fastidiose réclame; tuttavia, se la nuova versione verrà utilizzata per distribuire e installare banker e ransomware, il malware in causa diverrà un problema davvero serio.

Per gli utenti, purtroppo, non è così semplice sbarazzarsi di Loki. In effetti, il modulo nocivo Android.Loki.27 si introduce in profondità, nei componenti di sistema: una delle librerie di sistema critiche, una volta modificata, risulta correlata al Trojan, e se l’OS Android, nella fase di avvio, non trova tale elemento nella libreria, non potrà di fatto essere caricato; questo, ovviamente, causa problemi di malfunzionamento del dispositivo. Per ripristinare il corretto funzionamento del device, occorrerà eseguire il flashing dello stesso; verranno così persi tutti i dati.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *