iPhone & iPad

Первый буткит для Android заразил уже 350 000 смартфонов и планшетов

Компания «Доктор Веб» сообщила о появлении опасного троянца для Android, который располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит. Буткит – это вредоносная программа, которая осуществляет модификацию первого физического сектора на накопителе, может получить права администратора и выполнять любые вредоносные действия на мобильном устройстве пользователя. Это позволяет ей минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android.

android-virus-1

Для распространения троянца, внесенного в вирусную базу Dr.Web под именем Android.Oldboot.1.origin, злоумышленники воспользовались весьма нестандартным и оригинальным методом, разместив один из компонентов вредоносной программы в загрузочном разделе файловой системы и соответствующим образом изменив скрипт, отвечающий за последовательность активации компонентов ОС.

При включении «гуглофона» данный скрипт инициирует работу троянской Linux-библиотеки imei_chk, которая в процессе своей работы извлекает файлы libgooglekernel.so и GoogleKernel.apk и помещает их в каталоги /system/lib и /system/app соответственно. Таким образом, часть троянца Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса, подключаясь при помощи библиотеки libgooglekernel.so к удаленному серверу и получая от него различные команды – в частности загрузки, установки или удаления определенных приложений.

android-virus-2

Основная опасность этой «вредоноса» заключается в том, что даже в случае успешного удаления элементов Android.Oldboot, которые были проинсталлированы после включения мобильного устройства, находящийся в защищенном разделе flash-памяти компонент imei_chk при последующей перезагрузке вновь осуществит их установку, тем самым повторно инфицировав операционную систему.

Вредоносная программа активна уже более чем на 350 000 мобильных устройств, принадлежащих пользователям из разных стран, таких как Испания, Италия, Германия, Россия, Бразилия, США, а также ряда государств Юго-восточной Азии.

13 комментариев

Написать комментарий