Um trojan Android detectado pela primeira vez em 2015 retornou cinco anos depois com recursos atualizados, incluindo um mecanismo para desinstalar aplicativos pré-carregados para abrir espaço para seus próprios propósitos maliciosos.
O cavalo de Troia Android.Xiny é especificamente voltado para dispositivos com Android mais antigo - uma análise realizada pelo Dr. Web revela que o vírus geralmente tem como alvo o Android 5.1 e inferior.
À primeira vista, isso pode não parecer grande coisa, mas a empresa de segurança aponta para os dados compartilhados pelo Google no ano passado, que revelaram que o Android 5 e versões anteriores ainda estavam alimentando cerca de 25% de todos os dispositivos Android existentes. Em outras palavras, 1 em cada 4 usuários do Android pode estar vulnerável a ataques do Android.Xiny.
A versão atualizada do malware mantém a capacidade de instalar aplicativos sem permissões de usuário, mas este vem com "recursos" extras.
O Android.Xiny obtém acesso root em dispositivos Android comprometidos e permite que a persistência seja iniciada automaticamente mesmo após a inicialização do dispositivo. Isso é feito substituindo os arquivos do sistema / system / bin / debuggerd e / system / bin / ddexe e aguarda instruções de um servidor de comando e controle.
Como remover o malware
O malware também remove aplicativos instalados que forneceriam ao usuário acesso root, tecnicamente tornando muito mais difícil para qualquer um limpar a infecção. Além disso, ele define novas regras no arquivo lbc.so da biblioteca para impedir que os usuários reinstale esses aplicativos.
Os aplicativos pré-carregados instalados em um dispositivo Android são removidos para liberar espaço para os aplicativos que ele instala por conta própria. Na maioria das vezes, esses aplicativos estão sendo usados por invasores para gerar receita com programas de referência de pagamento por instalação.
No entanto, os invasores geralmente instalam vários aplicativos em um dispositivo comprometido, o que reduz drasticamente o desempenho e torna praticamente impossível o uso.
Remover Android.Xiny não é uma coisa fácil de fazer. Você pode fazer o flash de uma ROM limpa para começar do zero em um dispositivo comprometido ou tentar obter novamente o acesso root usando métodos mais complexos.
“Para obter acesso root, pode-se recorrer a explorações implementadas como arquivos de biblioteca. Ao contrário do código executável, o código da biblioteca não será bloqueado pelo cavalo de Troia. Outra opção é usar o componente trojan que concede permissões de root a seus outros componentes ”, explica o Dr. Web.
Os backups são obviamente recomendados, caso a atualização do dispositivo seja a única opção após um ataque bem-sucedido do Android.Xiny.
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário