Исследовательский центр NQ Mobile Security сообщил об обнаружении вредоносной программы DKFBootKit, которая близка к званию первого Android-буткита. Программа обнаружена в процессе отслеживания и анализа эволюции вариантов ранее известного DroidKungFu.
Хотя DKFBootKit использует ранее известные способы внедрения боевой нагрузки в обычные приложения, он специально выбирает для заражения именно те приложения, которые требуют рутовых привилегий. Таким образом, DKFBootKit внедряется в процесс загрузки оригинальной системы Android и подменяет ряд системных утилит (например, ifconfig и mount) и демонов (vold и debuggerd).
Поскольку DKFBootKit работает таким образом, ему не нужно полагаться на существующие эксплойты, поэтому он опаснее DroidKungFu.
После вышеописанных действий DKFBootKit получает возможность стартовать раньше, чем загружается весь фреймворк Android. По мнению исследователей NQ Mobile Security, данная программа ближе всех приблизилась к званию полноценного буткита на Android, что представляет собой серьёзную угрозу для пользователей мобильных устройств. На данный момент обнаружено всего лишь около 100 случаев заражения, но специалисты ожидают значительного увеличения этого количества в будущем.
Какие программы инфицирует DKFBootKit? Исследование показало, что это могут быть менеджеры приложений, программы для подбора лицензионных ключей и для разлочки популярных игр. Например, ниже приводятся скриншоты одной из инфицированных программ, которая предоставляет лицензионный ключ для платной программы ROM Manager.
В конечном итоге мобильные устройства, инфицированные с помощью DKFBootKit, становятся частью ботнета. Специалисты сейчас исследуют его C&C-серверы с целью определить назначение ботнета.