Антивирусная компания «Доктор Веб» впервые обнаружила буткит для операционной системы Android. Вредоносная программа располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы.

Как сообщается, троянская программа уже заразила более 350 тыс. устройств, абсолютное большинство которых находится в Китае (92%). На российских пользователей приходится 0,4% заражений, то есть около 1400.

Из сообщения компании «Доктор Веб»

При включении мобильного устройства данный скрипт инициирует работу троянской Linux-библиотеки imei_chk (детектируется Антивирусом Dr.Web как Android.Oldboot.1), которая в процессе своей работы извлекает файлы libgooglekernel.so (Android.Oldboot.2) и GoogleKernel.apk (Android.Oldboot.1.origin) и помещает их в каталоги /system/lib и /system/app соответственно. Таким образом, часть троянца Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса, подключаясь при помощи библиотеки libgooglekernel.so к удаленному серверу и получая от него различные команды – в частности загрузки, установки или удаления определенных приложений. Наиболее вероятным путем внедрения данной угрозы на мобильные устройства является установка злоумышленниками модифицированной версии прошивки, содержащей необходимые для работы троянца изменения.

Основная опасность этой вредоносной программы заключается в том, что даже в случае успешного удаления элементов Android.Oldboot, которые были проинсталлированы после включения мобильного устройства, находящийся в защищенном разделе flash-памяти компонент imei_chk при последующей перезагрузке вновь осуществит их установку, тем самым повторно инфицировав операционную систему.

Троянец внесен в антивирусную базу Dr.Web под названием Android.Oldboot.1.origin.



Оставить мнение