В феврале 2016 года специалисты компании «Доктор Веб» выявили целый комплект вредоносных программ для ОС Android, обладающих широчайшим спектром функциональных возможностей. Он состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно.
Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троянец может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход. Среди других возможностей Android.Loki.1.origin — установка и удаление приложений; их включение и отключение; демонстрация уведомлений и т.д.
Android.Loki.2.origin — предназначен для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троянец и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам информацию об устройстве. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер сведения об установленных приложениях, истории браузера, списке звонков, контакты пользователя и т.п.
Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянцев семейства Android.Loki.
Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС.