У лютому 2016 року фахівці компанії «Доктор Веб» виявили цілий комплект шкідливих додатків для ОС Android, володіють широким спектром функціональних можливостей.
Цей набір складається з трьох діючих спільно троянців, які отримали найменування Android.Loki.1.origin, Android.Loki.2.origin і Android.Loki.3 відповідно. Перший з них завантажується за допомогою бібліотеки liblokih.so, детектируемой Антивірусом Dr.Web для Android під назвою Android.Loki.6. Ця бібліотека впроваджується в один із системних процесів троянцем Android.Loki.3 — в результаті Android.Loki.1.origin отримує можливість діяти в системі з привілеями користувача system. Android.Loki.1.origin являє собою службу, володіє широким набором функцій: наприклад, троянець може завантажити з офіційного каталогу Google Play будь-який додаток з допомогою спеціальної посилання, що містить вказівку на обліковий запис тієї чи іншої партнерської програми, завдяки чому зловмисники отримують можливість отримувати дохід.
Серед інших можливостей Android.Loki.1.origin варто відзначити наступні:
установка і видалення програм;
включення і відключення додатків, а також їх компонентів;
зупинка процесів;
демонстрація повідомлень;
реєстрація додатків як Accessibility Service (служби, відстежує натискання на екран пристрою);
оновлення своїх компонентів, а також завантаження плагінів по команді з керуючого сервера.
Друга шкідлива програма з виявленого аналітиками «Доктор Веб» комплекту — Android.Loki.2.origin — призначена для установки на заражене пристрій різних додатків по команді з керуючого сервера, а також для демонстрації реклами. Проте володіє цей троянець і шпигунськими функціями — при запуску він збирає і відправляє зловмисникам наступну інформацію:
IMEI інфікованого пристрою;
IMSI інфікованого пристрою;
mac-адреса інфікованого пристрою;
ідентифікатор MCC (Mobile Country Code) — мобільний код країни;
ідентифікатор MNC (Mobile Network Code) — код мобільної мережі;
версія ОС на інфікованому пристрої;
значення роздільної здатності екрану;
дані про оперативної пам’яті (загальний обсяг і вільний об’єм);
версія ядра ОС;
дані про моделі пристрою;
дані про виробника пристрою;
версія прошивки;
серійний номер пристрою.
Після надіслання цієї інформації на керуючий сервер троянець отримує у відповідь конфігураційний файл, що містить необхідні для роботи відомості. Через певні проміжки часу Android.Loki.2.origin звертається до керуючого сервера для отримання завдань і під час кожного сеансу зв’язку додатково передає зловмисникам наступні дані:
версія конфігураційного файлу;
версія сервісу, реалізованого троянцем Android.Loki.1.origin;
мова операційної системи;
країна, зазначена в налаштуваннях операційної системи;
інформація про користувача облікового запису в сервісах Google.
У відповідь Android.Loki.2.origin отримує завдання на встановлення того чи іншого додатка (вони в тому числі можуть завантажуватися з каталогу Google Play), або на відображення реклами. Натискання на демонстровані троянцем повідомлення може призвести або до переходу на певний сайт, або до встановлення програми.