Компания Доктор Веб опубликовала предупреждение пользователям Андроид о появлении нового трояна, который располагается в встроенную flash-память инфицированных им мобильных устройств и работает как буткит, запускается при загрузке ОС, что дает ему возможность минимизировать свое обнаружение и удаление без вмешательства в файлофую структуру системы. Этот вирус на сегодняшний день заразил больше 350 тысяч мобильных гаджетов пользователей из разных стран.
В базу антивируса Dr.Web буткит внесен под названием Android.Oldboot.1.origin, для успешного распространения вируса пользуются оригинальным нестандартным способом размещая одну из его частей в загрузочном секторе файловой системы и изменяя скрипт, который отвечает за последовательность активации некоторых компонентов ОС.
Когда мобильное устройство включают, этот скрипт инициирует троянскую линукс-библиотеку imei_chk, она работая извлекает файлы libgooglekernel.so, GoogleKernel.apk перемещая их в /system/lib, /system/app. Так, часть вируса устанавливается в системе как обычное приложение и после этого работает как сервис системы, подключаясь через библиотеку libgooglekernel.so к удаленным серверам, получая от них следующие команды: удаления, установки, загрузки приложений. Самым вероятным путем проникновения вируса в гаджет является установка модифицированной версии прошивки, в которой содержится все необходимое для его работы, все нужные изменения.
Надеемся что в скором времени, эта опасность для гаджетов на oc Android будет преодолена, ведь скоро на свет появится Samsung Galaxy S5, и эта новость не должна отпугнуть покупателей от нового смартфона линейки Samsung Galaxy.
Опасность от вируса, это то, что даже в случае удаления его элементов, которые устанавливаются сразу после включения устройства, находящийся в защищенной части flash-памяти компонент библиотеки линукс imei_chk при следующей перезагрузке вновь будет их устанавливать повторно инфицирую систему.
