После получения root руткит заменяет libandroid_runtime.so и libmedia_jni.so на изменённые копии, перехватывая системные вызовы.
Создаются сценарии восстановления, подмена обработчика сбоев и резервные копии в системном разделе — они выживают после сброса до заводских настроек.
Каждые 60 секунд сторожевой демон проверяет целостность руткита и восстанавливает удалённые части.
Вредоносные элементы маскируются под пакет com.fa******.utils, сливаясь с легитимными классами SDK.
Зашифрованная нагрузка enc.apk прячется внутри PNG, затем извлекается как h.apk и загружается в память, а исходные файлы удаляются.
Заражение прекращается, если устройство находится в Пекине или Шэньчжэне; также проводится 15 тестов на эмуляторы, отладчики и VPN.
При невозможности определить местоположение атака продолжается.
Вредонос передаёт на сервер версию ядра, Android, список приложений и статус root — это определяет дальнейшие шаги.
Далее каждые 60 секунд загружаются эксплойты для получения root. Обнаружено 22 эксплойта, включая ошибки памяти и уязвимости драйверов Mali.
Они дают root-оболочку и отключают SELinux.
Устройства с обновлениями после мая 2021 года защищены от NoVoice — уязвимости закрыты. Google Play Protect удаляет эти приложения.
Владельцам заражённых устройств следует считать данные скомпрометированными.
После установки развёртываются два модуля: один для скрытой установки/удаления приложений, второй для кражи данных через любое приложение с интернетом.
Чаще всего атакуется WhatsApp: извлекаются базы, ключи шифрования, номер телефона, данные резервного копирования. Злоумышленники клонируют сессии.
Модульная архитектура позволяет нацеливаться на любые приложения.
В Google Play найдено более 50 заражённых приложений (фотогалереи, игры, очистители), скачанных 2,3 млн раз.
Они работают легально, не запрашивая подозрительные разрешения, но после запуска эксплуатируют уязвимости Android 2016–2021 годов для получения root.
Вирус обнаружила McAfee; он похож на троян Triada, но автор неизвестен.
0 комментариев