Компания «Доктор Веб» предупредила пользователей ОС Android об обнаружении опасного трояна, который находится во флэш-памяти инфицированных мобильных устройств и работает как буткит, запускаясь на начальной стадии загрузки операционной системы. Это позволяет коварному вирусу свести к минимуму возможность его удаления, не нарушая при этом структуру файловой системы Android-устройств.
Для распространения трояна, который вошел в вирусную базу Dr.Web под именем Android.Oldboot.1.origin, злоумышленники использовали очень необычный и оригинальный способ. Они подложили вредоносный файл в один из компонентов загрузочной системы и изменили сценарий, отвечающий за последовательность активации ОС. Работает это следующим образом.
Когда вы включаете мобильное устройство, этот скрипт инициирует работу троянской Linux-библиотеки imei_chk (Dr.Web Antivirus обнаруживает ее как Android.Oldboot.1), которая в ходе своей работы извлекает файлы libgooglekernel.so (Android.Oldboot.2) и GoogleKernel.apk (Android. Oldboot.1.origin). Затем помещает их в корневые каталоги /system/lib и system/app. Таким образом, часть трояна Android.Oldboot устанавливается как обычное Android-приложение и получает дополнительные функции в качестве системной службы. При подключении с помощью библиотеки libgooglekernel.so к удаленному серверу, вирус собирает различные команды — в частности по скачиванию, установке или удалению некоторых приложений.
Click here to preview your posts with PRO themes ››
Главная опасность этой вредоносной программы – даже в случае успешного удаления элементов Android.Oldboot, при следующей перезагрузке снова проводится их установка, тем самым вновь заражая операционную систему.
Согласно информации, полученной от вирусных аналитиков, сейчас эта вредоносная программа активна на более чем 350 тысячах мобильных устройств, принадлежащих пользователям из разных стран: Испании, Италии, Германии, России, Бразилии, США и ряда государств Юго-Восточной Азии. Подавляющее большинство пострадавших пользователей (92%) находится в Китае. И это не удивительно, так как троян Android. Oldboot предназначен, в первую очередь, для владельцев китайских Android-устройств.
