Первый буткит, предназначенный для Android, сумел заразить 350 тысяч мобильных устройств


Российский производитель антивирусов «Доктор Веб» предупреждает людей, пользующихся устройствами ОС Android, об обнаружении опасного троянца, располагающегося во flash-памяти заражённых мобильных устройств и работающего подобно буткиту, запускающемуся при загрузке операционной системы. Всё это даёт ему минимизировать возможность собственного удаления без какого-либо вмешательства во внутреннюю структуру системы файлов Android-устройств. На данный момент программа активна как минимум на 350 тысячах мобильных устройств, которые принадлежат пользователям из различных стран - России, Испании, Италии, США, Германии, Бразилии, а также ряда стран в Юго-восточной Азии.

С целью распространения троянца, который внесен в базу вирусов Dr.Web как Android.Oldboot.1.origin, киберзлодеи воспользовались довольно-таки нестандартным методом, поместив компонент вредоносной программы в разделе загрузок файловой системы и изменив соответствующим образом скрипт, который отвечает за последовательность активации составных элементов ОС. Во время запуска мобильного устройства этот скрипт инициирует деятельность imei_chk - троянской Linux-библиотеки (определяется Антивирусом Dr.Web в качестве Android.Oldboot.1), в процессе работы извлекающей файлы libgooglekernel.so (т. е. Android.Oldboot.2), а также GoogleKernel.apk (т. е. Android.Oldboot.1.origin), помещая их в каталоги /system/app и /system/lib. В итоге часть троянца устанавливается непосредственно в систему в качестве обычного Android-приложения и в дальнейшем действует в роли системного сервиса, при помощи libgooglekernel.so - библиотеки подключаясь к удаленному серверу и принимая от него разнообразные команды – загрузки, удаления или установки определенных приложений. Самым вероятным из путей внедрения этой угрозы на мобильники является установка злодеями модифицированной прошивочной версии, содержащей требуемые для функционирования троянца изменения.

Главная опасность данного вредоноса кроется в том, что и в случае удаления элементов вируса Android.Oldboot, проинсталлированных после включения пользовательского мобильного устройства, пребывающий во флеш-памяти (в её надёжно защищенном разделе) imei_chk -

компонент при дальнейшей перезагрузке вновь выполнит их установку, повторно инфицировав ОС.

Согласно информации, которая получена вирусными аналитиками «Доктор Веб», на данный момент эта вредоносная программа стоит как минимум на 350000 различных мобильных устройств, которые принадлежат пользователям из Италии, Германии, Испании, США, России, Бразилии. Но подавляющая часть из пострадавших (примерно 92%) – это жители Китая, что неудивительно, поскольку троянец предназначен, главным образом, для китайских обладателей Android-устройств.

Дабы не превратиться в жертву этой и прочих аналогичных программ - вредоносов, «Доктор Веб» советует пользователям не покупать Android-устройства непонятного происхождения, а также не пользоваться образами операционной системы, которые получены из ненадежных источников.

Спонсор поста: сетевое оборудование от магазина Zeon
автор antivirusall дата 02.02.14
Наверх