Android.Loki - семейство Android-троянов, способных внедряться в системные процессы


Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 - семейство вредоносных программ для мобильной платформы Android, обладающие широчайшим спектром функциональных возможностей.

Android.Loki.1.origin загружается с помощью библиотеки liblokih.so, детектируемой как Android.Loki.6. Эта библиотека внедряется в один из системных процессов трояном Android.Loki.3. В результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Сам Android.Loki.1.origin представляет собой службу, которая обладает широким набором функций: например, троянская программа может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы. Благодаря этому злоумышленники получают возможность извлекать доход. Также среди возможностей Android.Loki.1.origin можно отметить:

  • установку и удаление приложений;
  • включение и отключение приложений, а также их компонентов;
  • остановку процессов;
  • демонстрацию уведомлений;
  • регистрацию приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства);
  • обновление своих компонентов, а также загрузку плагинов по команде с управляющего сервера.


Android.Loki.2.origin — вредоносная программа, предназначенная для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Также троян наделен шпионскими функциями — при запуске он собирает и отправляет злоумышленникам:

  • IMEI инфицированного устройства;
  • IMSI инфицированного устройства;
  • mac-адрес инфицированного устройства;
  • идентификатор MCC (Mobile Country Code) — мобильный код страны;
  • идентификатор MNC (Mobile Network Code) — код мобильной сети;
  • версия ОС на инфицированном устройстве;
  • значение разрешения экрана;
  • данные об оперативной памяти (общий объем и свободный объем);
  • версия ядра ОС;
  • данные о модели устройства;
  • данные о производителе устройства;
  • версия прошивки;
  • серийный номер устройства.


После отправки информации на управляющий сервер троянская программа получает в ответ конфигурационный файл, в котором содержатся необходимые для его работы данные. Затем, через определенные промежутки времени, Android.Loki.2.origin обращается к управляющему серверу для получения заданий. Примечательно, во время каждого сеанса связи Android.Loki.2.origin дополнительно передает злоумышленникам следующие данные:

  • версию конфигурационного файла;
  • версию сервиса, реализованного трояном Android.Loki.1.origin;
  • язык операционной системы;
  • страну, указанную в настройках операционной системы;
  • информацию о пользовательской учетной записи в сервисах Google.


В ответ вредоносное приложение получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Если пользователь каким-либо образом нажмет на демонстрируемые трояном уведомления, то его перенаправит либо на определенный сайт, либо нажатие приведет к установке приложения. По команде киберпреступников Android.Loki.2.origin может отсылать на управляющий сервер следующую информацию:

  • список установленных приложений;
  • историю браузера;
  • список контактов пользователя;
  • историю звонков;
  • текущее местоположение устройства.


Троян Android.Loki.3 - реализует на инфицированном устройстве две функции:

  • внедряет библиотеку liblokih.so в процесс системной службы system_server;
  • позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянов семейства Android.Loki.


Другими словами, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов. Т.е., киберпреступники передают трояну путь к сценарию, который следует выполнить, а Android.Loki.3 запускает этот скрипт.

Установлено, что трояны семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, т.е. в тех папках, к которым у антивирусной программы нет доступа. По этой причине, при обнаружении на устройстве любой из таких вредоносных программ, самым оптимальным способом будет ликвидация последствия заражения, а именно – перепрошивка устройства с использованием оригинального образа ОС. Однако, перед выполнением данной процедуры настоятельно рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации.