近日，恶意软件开发者发布了新版的安卓Loki木马，该木马现在能够感染原生的Android操作系统库而不是像早期的版本一样针对核心系统进程。

这款木马的名字是Loki，首次出现是在2016年2月，由俄罗斯的杀毒软件厂商Dr.Web发现并命名。Loki木马的出现在信息安全的社区里产生了极大的影响，因为它是当时发现的第一个感染了设备并且如此的贴近安卓操作系统核心进程的实际案例。

仅被用作恶意广告的推送？

Loki木马之所以能够做到针对Android系统核心进程的原因在于其隐藏的时间可以足够长并且是在Root权限下去进行所有核心操作系统的进程执行。实际上它可以做任何事情，例如从受感染的设备上获取各种内容、拦截通讯、取消通知甚至是窃取数据。

尽管Loki木马能做的事很多，但是其背后的攻击者却仍然只是选择使用它去下载其他的应用程序以及显示那些非法的恶意广告。

新版本目标对准了系统库

在Loki木马被发现的十个月后，Dr.Web的安全研究人员宣布，他们遇到了一个新的经过改进的Loki木马变体，目前为止其主要目标是Android操作系统的库。

这个新的Loki木马的感染过程也完全不同于原来的版本，这也就意味着攻击者们能够继续通过这一精心制作的感染过程来威胁到更多的人，并且可以避免直接进入那些安全公司的黑名单。

不过这两个版本的相似之处也非常明显，就是他们都是依靠那些没有任何安全意识的用户通过第三方Android应用商店进行应用程序的下载安装。然而这些应用程序中往往包含有Loki木马，它可以利用自身的恶意软件属性获得系统权限，对Android操作系统的核心文件进行篡改。

事实上，从本质上来进行分析会发现，2月份的版本主要针对原生安卓系统的system_server”进程。12月的版本则是会修改本地的系统库并且会添加一个额外内容，即加载Loki木马的三个组件(libz. so, libcutils. so or liblog.so)。每当Android系统需要去感染本地库时，他们就会加载Loki木马，然后Loki就会以Root权限启动其恶意行为，所有核心库都会在标准用户下被执行。

庆幸的是，就像2月份一样，12月的这个版本目前仍然只是去显示一些烦人的恶意广告。但如果Loki木马被用作成为银行木马（ransomware,恶意软件或cyber-surveillance工具包）的一部分，那么其力量是非常值得警惕的，因为Loki身处在Android系统的核心处，要想删除木马唯一的方法就是对整个系统进行重新的安装。