El troyano Loki infecta proceso del sistema y bibliotecas Android y para obtener privilegios de superusuario
Los autores de malware han lanzado una nueva versión del troyano Android Loki, que ahora puede infectar a las bibliotecas nativas del sistema operativo Android después de una versión anterior previamente había adquirido la capacidad de infectar a los procesos básicos del sistema operativo.Este troyano, llamado Loki, fue visto por primera vez en febrero de 2016 y fue descubierto por el proveedor de antivirus ruso Dr.Web.
El troyano tuvo un gran impacto en la comunidad infosec cuando se descubrió porque Loki fue uno de los primeros casos en los que el malware se había encontrado una forma para infectar dispositivos y anidan en el interior derecho procesos del sistema operativo Android de núcleo.
Loki se utiliza principalmente para mostrar anuncios no deseados
Loki lleva a cabo operaciones con los privilegios de root en virtud del cual todos los procesos básicos del sistema operativo se ejecutan. El troyano podría robar todo tipo de contenidos desde dispositivos infectados, matar a las notificaciones, interceptar comunicaciones, o en secreto exfiltrate datos.
A pesar de su capacidad, los ladrones detrás de Loki solo lo han usado para descargar otras aplicaciones y mostrar anuncios no solicitados.
Nueva versión de Loki se dirige a bibliotecas del núcleo en lugar de los procesos del sistema
Diez meses más tarde, los investigadores de seguridad Dr.Web han anunciado que han llegado a través de una nueva y mejorada variante de Loki, que ahora tiene como objetivo bibliotecas del núcleo de Android OS.
El proceso de infección es muy diferente de la versión original Loki, lo que significa que los delincuentes continuaron trabajando en su amenaza y refinaron el proceso de infección para obtener mejores resultados y para evitar las listas negras por las empresas de seguridad.
Las similitudes son que los troyanos se basan en usuarios witless instalan aplicaciones de Android de tiendas de terceros. Estas aplicaciones contienen Loki y se explotan para elevar los privilegios del software malicioso para que pueda manipular archivos del núcleo del sistema operativo Android.
La diferencia entre las dos versiones Loki, el febrero y las variantes de diciembre, esta en los archivos a que se dirige. La edición febrero iba a procesos nativo de Android "system_server".
La variante de diciembre modifica una biblioteca del sistema nativo y agrega una dependencia adicional que carga uno de los tres componentes de Loki (libz.so, libcutils.so o liblog.so). Cada vez que el sistema operativo Android necesita la biblioteca contaminada, sino que también carga el troyano Loki, que inicia su actividad maliciosa como root, el usuario estándar bajo el cual todas las bibliotecas del núcleo de ejecutar.
Afortunadamente, al igual que en febrero este malware es utilizado actualmente para mostrar sólo los molestos anuncios. Si Loki sería utilizado como parte de troyanos bancarios, ransomware, o herramientas de vigilancia cibernética, este malware tendria una fuerza a tener en cuenta. Debido a Loki enreda profundamente los archivos del sistema operativo Android, la única manera de eliminar el troyano es volver a instalar (reflash) todo el sistema operativo.
Fecha actualización el 2021-12-13. Fecha publicación el 2016-12-13. Categoría: Malware. Autor: Oscar olg Mapa del sitio