L'éditeur de solutions de sécurité Dr Web indique avoir détecté une famille de trois chevaux de Troie qui travaillent ensemble. Pour l'occasion , Dr Web remarque que les malwares Android atteignent un niveau de sophistication toujours plus élevé, qui rejoint celui des malwares sous Windows.

Pour l'occasion, il s'agit de trois chevaux de Troie, Android.Loki.1.origin, Android.Loki.2.origin et Android.Loki.3. Le troisième de la bande fusionne le premier à un processus système (system_server), ce qui lui donne tous les droits. Il peut donc ensuite installer ou supprimer des applications, arrêter des processus, etc. Notamment, il télécharge n'importe quelle application du Google Play en utilisant un lien spécialisé qui pointe vers le compte d'un programme partenaire, permettant aux cybercriminels de gagner de l'argent.

Même si Dr Web n'est pas clair sur ce point, il semble que Android.Loki.3 installe également Android.Loki.2.origin sur le smartphone attaqué. Celui-là collecte des informations sur l'appareil (identifiants IMEI, IMSI, adresse MAC, version de l'OS, résolution d'écran, etc.) et les envoie à un serveur distant qui en retour lui transmet une fichier de configuration. Une fois bien configuré Android.Loki.2.origin peut lui aussi télécharger, à l'aide de Android Loki.3, des applications du Google Play, ou afficher des publicités. Il peut aussi rediriger l'utilisateur vers des sites malicieux, ou lui envoyer des notifications qui l'inciteront à installer des applications.

Bien incrusté dans le système Android.Loki 3 sert de serveur aux deux autres. Notamment, il exécute des scripts Shell à leurs demandes.

Dr Web ne donne pas beaucoup d'indications qui vous permettraient de savoir si votre smartphone est infecté, en dehors du fait que Android.Loki.3 ajoute la librairie liblokih.so au système.

Les composants de ces malwares étant déposés dans les répertoires système Android, l'antivirus Dr Web n'y a pas accès. L'éditeur recommande une réinitialisation d'usine pour se débarrasser de l'infection.