Otkriven prvi Android bootkit, zaraženo 350000 uređaja
Mobilni telefoni, 29.01.2014, 07:37 AM
Ruski proizvođač antivirusa kompanija Doctor Web upozorila je korisnike Androida na Trojanca koji se nalazi u memoriji zaraženih uređaja i koji se pokreće u ranoj fazi učitavanja operativnog sistema, ponašajući se kao bootkit. U ovom trenutku opasni malver nazvan Oldboot se već nalazi na više od 350000 mobilnih Android uređaja korisnika u brojnim zemljama, uključujući i Španiju, Italiju, Nemačku, Rusiju, Brazil, SAD i neke zemlje u južnoj Aziji. U Doctor Web-u smatraju da se Trojanac distribuira preko modifikovanog firmware-a.
Da bi se osigurala postojanost i opstanak malvera na uređaju, napadači ubacuju jednu od komponenti Trojanca u boot particiju i menjaju skriptu koja je odgovorna za inicijalizaciju komponenti operativnog sistema. Kada se mobilni telefon uključi, skripta učitava komponentu Trojanca imei_chk (koju antivirus detektuje kao Android.Oldboot.1), koja izdvaja fajlove libgooglekernel.so (Android.Oldboot.2) i GoogleKernel.apk (Android.Oldboot.1) i smešta ih u /system/lib i /system/app. Time je deo Trojanca Android.Oldboot instaliran kao obična aplikacija koja dalje funkcioniše kao sistemski servis i koristi libgooglekernel.so biblioteku za povezivanje sa udaljenim serverom i primanje različitih komandi, pre svih onih za preuzimanje, instaliranje i uklanjanje određenih aplikacija.
Ovaj malver je posebno opasan zbog toga što čak i ako se uklone neke od komponenti Android.Oldboot Trojanca koje su instalirane na mobilnom uređaju posle uključivanja, komponenta imei_chk ostaje u memoriji i ponovo će instalirati malver posle restartovanja pa će sistem ponovo biti zaražen.
Trenutno su najugroženiji korisnici u Kini u kojoj se nalazi 92% kompromitovanih uređaja, ali Trojanca ima i u Evropi gde je inficirano više od 10000 uređaja, Rusiji (više od 2000), SAD (821), Barzilu (482) i nekim azijskim zemljama (skoro 5000).
Izdvojeno
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje
Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje
Signal uveo podršku za korisnička imena u aplikaciji
Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje
Pratite nas
Nagrade