В поступившем в редакцию сообщении компания Dr.Web предупреждает пользователей Android о появлении опасного трояна, располагающегося во встроенной флэш-памяти инфицированных мобильных устройств и функционирующего как буткит. Запускается вредонос на ранней стадии загрузки операционной системы, поэтому без вмешательства в структуру файловой системы Android-устройств удалить его не получится.
По сообщению компании Dr.Web, в настоящее время данная вредоносная программа активна на более чем 350 тыс Android-устройств, принадлежащих пользователям из разных стран (Испания, Италия, Германия, Россия, Бразилия, США, а также ряда государств Юго-восточной Азии). Однако основная часть пострадавших пользователей (92%) находится в Китае, что неудивительно, так как троян Android.Oldboot нацелен, в первую очередь, на китайских владельцев Android-устройств.
В вирусную базу Dr.Web новый троян был внесен под именем Android.Oldboot.1.origin. Для его распространения злоумышленники воспользовались весьма нестандартным и оригинальным методом – разместили один из компонентов вредоносной программы в загрузочном разделе файловой системы и соответствующим образом изменили скрипт, отвечающий за последовательность активации компонентов ОС.
При включении мобильного устройства данный скрипт инициирует работу троянской Linux-библиотеки imei_chk, которая в процессе своей работы извлекает файлы libgooglekernel.so (Android.Oldboot.2) и GoogleKernel.apk (Android.Oldboot.1.origin), а затем помещает их в каталоги /system/lib и /system/app соответственно. Таким образом, часть троянца Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса. Вредонос подключается при помощи библиотеки libgooglekernel.so к удаленному серверу и может получать от него различные команды – в частности загрузки, установки или удаления определенных приложений.
Наиболее вероятным путем внедрения данной угрозы на мобильные устройства является установка злоумышленниками модифицированной версии прошивки, содержащей необходимые для работы троянца изменения.
Специалисты Dr.Web отмечают, что в случае успешного удаления элементов Android.Oldboot, которые были установлены после включения мобильного устройства, находящийся в защищенном разделе flash-памяти компонент imei_chk при последующей перезагрузке вновь осуществит их установку, тем самым повторно скомпрометировав ОС.