SHA1:
- ed4ad4f036714681448f0cf15bd21bf8eb902836
Троянская программа для ОС Android, которая представляет собой исполняемую Linux-библиотеку и является одним из компонентов вредоносного приложения Android.Xiny.60. Устанавливается в системный каталог по следующему пути:
/system/lib/igpld.soAndroid.Xiny.62 внедряется в процессы системных приложений Google Play (com.android.vending) и Сервисы Google Play (com.google.android.gms и co.google.android.gms.persistent) троянцем Android.Xiny.61. Также Android.Xiny.62 может встраиваться в системный процесс zygote, однако в текущей версии троянца эта функция не задействована.
После загрузки модуль igpld.so проверяет, в какой процесс он внедрился. Если это системный процесс zygote, Android.Xiny.62 перехватывает системную функцию ioctl и с ее помощью определяет момент запуска нового приложения. Если троянец обнаруживает вновь запущенную программу, он инжектирует в ее процесс вредоносную библиотеку igpi.jar (Android.Xiny.60), которая используется для загрузки и запуска скачиваемых из Интернета дополнительных троянских плагинов.
