377816

Android-буткит заразил 350 000 устройств по всему миру

377816Компания «Доктор Веб» предупредила пользователей ОС об обнаружении опасного трояна, который находится во флэш-памяти инфицированных мобильных устройств и работает как буткит, запускаясь на начальной стадии загрузки операционной системы.  Это позволяет коварному вирусу свести к минимуму возможность его удаления, не нарушая при этом структуру файловой системы Android-устройств.

Для распространения трояна, который вошел в вирусную базу под именем Android.Oldboot.1.origin, злоумышленники использовали очень необычный и оригинальный способ. Они подложили вредоносный файл в один из компонентов загрузочной системы и изменили сценарий, отвечающий за последовательность активации ОС. Работает это следующим образом.

Когда вы включаете мобильное устройство, этот скрипт инициирует работу троянской Linux-библиотеки imei_chk (Dr.Web Antivirus обнаруживает ее как Android.Oldboot.1), которая в ходе своей работы извлекает файлы libgooglekernel.so (Android.Oldboot.2) и GoogleKernel.apk (Android. Oldboot.1.origin). Затем помещает их в корневые /system/lib и system/app. Таким образом, часть трояна Android.Oldboot устанавливается как обычное Android-приложение и получает дополнительные функции в качестве системной службы. При подключении с помощью библиотеки libgooglekernel.so к удаленному серверу, вирус собирает различные команды – в частности по скачиванию, установке или удалению некоторых приложений.

Главная опасность этой вредоносной программы – даже в случае успешного удаления элементов Android.Oldboot, при следующей перезагрузке снова проводится их установка, тем самым вновь заражая операционную систему.

Согласно информации, полученной от вирусных аналитиков, сейчас эта вредоносная программа активна на более чем 350 тысячах мобильных устройств, принадлежащих пользователям из разных стран: Испании, Италии, Германии, России, Бразилии, США и ряда государств Юго-Восточной Азии.  Подавляющее большинство пострадавших пользователей (92%) находится в Китае. И это не удивительно, так как троян Android.  Oldboot предназначен, в первую очередь, для владельцев китайских Android-устройств.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *