Ερευνητές ασφαλείας από την Doctor Web ανακάλυψαν αυτό που πιστεύουν ότι είναι το πρώτο Android bootkit. Η απειλή έχει ήδη μολύνει 350.000 συσκευές σε όλο τον κόσμο.
Το Trojan, που ονομάστηκε Android.Oldboot.1.origin, χρησιμοποιεί κάποιες έξυπνες τεχνικές για να διασφαλίσει ότι δεν μπορεί να αφαιρεθεί εύκολα. Ένα συστατικό του είναι εγκατεστημένο στο διαμέρισμα εκκίνησης του συστήματος.
Το αρχείο τροποποιεί την εκκίνηση της συσκευής, φορτώνοντας με ένα scriptτα συστατικά του Android.Oldboot. Μόλις το Android.Oldboot εγκατασταθεί σε μια συσκευή, το trojan συνδέεται σε έναν απομακρυσμένο server και περιμένει εντολές.
“Όταν το κινητό τηλέφωνο είναι ενεργοποιημένο, αυτό το script φορτώνει τον κώδικα του Trojan Linux-library imei_chk (η εφαρμογή Dr.Web Anti-virus το ανιχνεύει σαν Android.Oldboot.1), το οποίο εξάγει τα αρχεία libgooglekernel.so (Android.Oldboot . 2) και GoogleKernel.apk (Android.Oldboot.1.origin) και τα τοποθετεί στις διαδρομές /system/lib και /system/app, respectively, αντιστοίχως αναφέρουν οι ερευνητές.
“Έτσι, μέρος του Trojan Android.Oldboot πραγματοποιεί εγκατάσταση σαν μια τυπική εφαρμογή, η οποία λειτουργεί σαν υπηρεσία συστήματος και χρησιμοποιεί το libgooglekernel.so library για να συνδεθεί με έναν απομακρυσμένο διακομιστή και να λάβει διάφορες εντολές, κυρίως, να κατεβάσει, να εγκαταστήσει ή να καταργήσει ορισμένες εφαρμογές.”
Το πρόβλημα είναι ότι ακόμη και αν αφαιρεθεί, όταν η συσκευή πραγματοποιεί επανεκκίνηση το Trojan ακολουθεί την ίδια διαδικασία, αφού βρίσκεται στην προστατευόμενη περιοχή της μνήμης.
Οι ειδικοί πιστεύουν ότι το κακόβουλο λογισμικό διανέμεται με τη βοήθεια κάποιου τροποποιημένου firmware. Όταν οι χρήστες κάνουν root στα smartphones τους και να εγκαταστήσουν αυτό το firmware, δεν ξέρουν στην πραγματικότητα τι τρέχει στην συσκευή τους.
Οι περισσότερες λοιμώξεις από το συγκεκριμένο κακόβουλο λογισμικό (92%) έχουν εντοπιστεί στην Κίνα, η οποία φαίνεται να είναι ο κύριος στόχος του. Ωστόσο, μολυσμένα συσκευές έχουν επίσης παρατηρηθεί στη Γερμανία, την Ισπανία, τη Ρωσία, την Ιταλία, στις ΗΠΑ, τη Βραζιλία και άλλες χώρες από τη Νοτιοανατολική Ασία.
Ο καλύτερος τρόπος για να προστατεύσετε το smartphone σας είναι να αποφεύγετε την εγκατάσταση firmware από αναξιόπιστες πηγές.
