„Dr.Web“ saugumo analitikai aptiko naujas versijas trojos arklio principo veikiančius virusus, kurie skirti programų diegimui ir šalinimui to nežinant įrenginio savininkui. Dabar šio tipo kenksmingos programos gali būti įdiegiamos į naudojamas programas kaip priedai ir paleidinėti įvairius žalingus kodus įskiepių pavidalu.
Trojos arklio pavidalo virusai „Android.Xiny“ žinomi jau nuo 2015 kovo mėnesio. Šis žalingas kodas yra aktyviai platinamas per įvairias programėlių parsisiuntimo platformas, įskaitant „Google Play“.
Įdiegus tokį apkrėstą papildinį, žalingas kodas stengiasi gauti „root“ prieigą prie Jūsų įrenginio programinio katalogo, kad galėtų nepastebėtai diegti įvairią programinę įrangą ir rodyti nepageidaujamą reklamą. Kas šiuo atveju yra visiškai nauja, tai, kad naujas žalingas kodas naudoja apsaugos nuo pašalinimo mechanizmą. Tai pasireiškia tuo, kad žalingas kodas sugeba priskirti saugų sistemos atributą (immutable). Taip pat be šio patobulinimo buvo pakoreguotas ir pats virusas, kuris gali diegti ir nepageidaujamą programinę įrangą į Jūsų įrenginius.
Vienas iš tokių atnaujintų variantų buvo ištirtas „Dr.Web“ saugos specialistų. Jam suteiktas vardas „Android.Xiny.61“. Toks trojanas geba iš savo failinių resursų perkopijuoti keletą pagalbinių komponentų, kurie nukopijuojami į „Android“ sisteminį katalogą:
- /system/xbin/igpi;
- /system/lib/igpld.so;
- /system/lib/igpfix.so;
- /system/framework/igpi.jar.
Toliau, pasitelkęs „igpi“ modulį, trojanas vykdo bibliotekos igpld.so apkrėtimą ir įtraukiamas į sisteminį procesą „zygote“.
Apkrėtus sisteminį procesą „zygote“, pradedamas naujų programų paleidimo sekimas. Į visas naujas programėles diegiamas žalingas modulis igpi.jar.
Pagrindinė minėto modelio paskirtis – žalingų įskiepių paleidimas naudojamose programėlėse. Modulis seka mobilaus įrenginio būvį ir atsiradus pasikeitimams (įjungimas arba išjungimas ekrano, prisijungimas/atsijungimas prie interneto, krovimo įrenginio prijungimas/atjungimas ir pan.) susijungia su serveriu ir perduoda informaciją iš Jūsų įrenginio:
- IMEI identifikaciją;
- IMSI identifikaciją;
- MAC adresą Jūsų tinklo įrenginio;
- Operacinės sistemos versiją;
- Mobilaus įrenginio pavadinimą;
- Naudojamą kalbą;
- Apkrėsto programinio paketo pavadinimą.