Новый троянец для Android заразил 350 тыс устройств через «левые» ОС

Эксперты российской компании «Доктор Веб» выявили нового троянца, который располагается во встроенной flash-памяти инфицированных мобильных устройств на платформе Android, число которых уже составляет 350 тысяч, говорится в сообщении компании. Новый троянец Android.Oldboot.1.origin функционирует как буткит — вредоносная программа, которая осуществляет модификацию первого физического сектора на жёстком диске, может получить права администратора и выполнять любые вредоносные действия на мобильном устройстве пользователя. Он запускается на ранней стадии загрузки операционной системы, что позволяет троянцу минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android-устройств. Согласно сообщению, для распространения троянца злоумышленники воспользовались нестандартным методом: разместили один из компонентов вредоносной программы в загрузочном разделе файловой системы и соответствующим образом изменили скрипт, отвечающий за последовательность активации компонентов ОС. При включении мобильного устройства данный скрипт инициирует работу троянской Linux-библиотеки imei_chk, которая в процессе своей работы извлекает файлы libgooglekernel.so и GoogleKernel.apk и помещает их в каталоги /system/lib и /system/app соответственно. Таким образом, часть троянца Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса, подключаясь при помощи библиотеки libgooglekernel.so к удаленному серверу и получая от него различные команды — в частности загрузки, установки или удаления определенных приложений. Эксперты полагают, что наиболее вероятным путем внедрения данной угрозы на мобильные устройства является установка злоумышленниками модифицированной версии прошивки, содержащей необходимые для работы троянца изменения. То есть заражению данной вредоносной программой в первую очередь подвержены те пользователи, которые приобретают Android-устройства сомнительного происхождения или используют образы операционной системы, полученные из ненадежных источников. Основная опасность этой вредоносной программы заключается в том, что даже в случае успешного удаления элементов Android.Oldboot, которые были проинсталлированы после включения мобильного устройства, находящийся в защищенном разделе flash-памяти компонент imei_chk при последующей перезагрузке вновь осуществит их установку, тем самым повторно инфицировав операционную систему. Согласно информации, полученной вирусными аналитиками компании «Доктор Веб», в настоящее время данная вредоносная программа активна на более чем 350 тысяч мобильных устройств, принадлежащих пользователям из разных стран: Испании, Италии, Германии, России, Бразилии, США, а также ряда государств Юго-восточной Азии. Однако большая часть пострадавших пользователей (92%) находится в Китае, отмечают эксперты.