"Доктор Веб": Обнаружен новый троян для Android

image

Теги: Доктор Веб, троян, Android, буткит

Вредоносное ПО функционирует как буткит.

Как сообщили эксперты компании «Доктор Веб», для мобильной платформы Android появился новый троян. Особенностью вредоноса является то, что он располагается во встроенной флэш-памяти зараженных мобильных устройств и функционирует как буткит. Поскольку троян запускается на ранней стадии загрузки ОС, возможность его удаления без вмешательства в структуру файловой системы сводится к минимуму.

Вредоносное ПО загружается на устройство следующим образом: сначала один из его компонентов попадает в загрузочный раздел файловой системы и меняет скрипт, который отвечает за последовательность активации компонентов платформы. Далее, когда устройство выключается, измененный сценарий запускает троянскую Linux-библиотеку imei_chk. В свою очередь, она извлекает файлы libgooglekernel.so и GoogleKernel.apk и помещает их в каталоги /system/lib и /system/app соответственно.

Из этого следует, что часть вредоносного ПО устанавливается на устройство в виде обычного Android-приложения. С помощью библиотеки libgooglekernel.soк осуществляется подключение смартфона или планшета к удаленному серверу, передающему различные команды.

По словам экспертов, троян наверняка попадает на мобильное устройство через модифицированную заранее версию прошивки. В настоящее время вредонос активен на 350 тыс. систем.


comments powered by Disqus