SHA1: 630da09c6ab6df504338e1525aabeabcf686b3a4
Троянец для мобильной платформы Google Android, обладающий широким спектром функциональных возможностей. Исследованный образец представляет собой файл:
/data/system/.loki/lokisdk.jar
Троянец загружается с помощью библиотеки liblokih.so, которая внедряется в процесс system_server вредоносной программой Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Механизм взаимодействия клиентских приложений с сервисом реализован с помощью ServiceConnection и IBinder.
Android.Loki.1.origin представляет собой сервис, реализующий следующие функции:
- скачивание приложений из Google Play с указанием referrer;
- установка и удаление приложений;
- включение и отключение приложений, а также их компонентов;
- остановка процессов;
- демонстрация уведомлений;
- регистрация приложений как Accessibility Service;
- обновление своих компонентов, а также загрузка плагинов по команде с сервера.
