Доктор Веб: первый буткит для Android заразил 350 000 аппаратов
Компания «Доктор Веб» сообщила о появлении опасного троянца, который располагается во встроенной флеш-памяти инфицированных Android-аппаратов и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы. Это позволяет ему минимизировать возможность своего удаления без вмешательства в структуру файловой системы. Специалисты утверждают, что упомянутое вредоносное ПО, внесённое в вирусную базу Dr.Web под именем Android.Oldboot.1.origin, активно более чем на 350 000 мобильных аппаратов. Для распространения троянца злоумышленники воспользовались нестандартным методом, разместив один из компонентов вредоносной программы в загрузочном разделе файловой системы и соответствующим образом изменив скрипт, отвечающий за последовательность активации компонентов ОС. При включении мобильного устройства данный скрипт инициирует работу троянской Linux-библиотеки imei_chk (детектируется Антивирусом Dr.Web как Android.Oldboot.1), которая в процессе своей работы извлекает файлы libgooglekernel.so (Android.Oldboot.2) и GoogleKernel.apk (Android.Oldboot.1.origin) и помещает их в каталоги /system/lib и /system/app соответственно. Таким образом, часть троянца Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса, подключаясь при помощи библиотеки libgooglekernel.so к удалённому серверу и получая от него различные команды — например, для установки или удаления определённых приложений.
