欢迎光临
我们一直在努力

已有850,000个移动设备被第一例Android Bootkit感染

俄罗斯信息安全反病毒产品厂商 Doctor Web公司提醒 Android 系统用户:新出现一个危险性极大的木马,此木马驻留于被感染移动设备的内置闪存,在加载操作系统的初始阶段作为 Bootkit 启动,因此如果不改变 Android 设备文件系统构架,就基本上无法将其删除。目前被这一恶意软件感染的移动设备已超过 850,000个,遍及中国、西班牙、意大利、德国、俄罗斯、巴西、美国以及东南亚地区一些国家的用户。

oldboot_1

Dr.Web病毒数据库将这一新木马命名为 Android. Oldboot.1 .origin,此次不法分子使用的方式不同寻常:是将恶意软件的一个组件放置到文件系统启动分区中,并以相应方式修改负责操作系统组件激活次序的脚本。当打开移动设备时,该脚本会启动木马的 Linux 库 imei_ chk(Dr.Web反病毒软件将其侦测为 Android. Oldboot.1),在运行过程中提取文件libgoogle kernel.so(Android.Oldboot. 2)和 GoogleKernel.apk(Android. Oldboot.1 .origin),并将其分别放置到 /system/lib 和 /system/app 目录中。这样,木马的组成部分 Android.Oldboot 就被作为普通的 Android 应用安装到系统中,接下来成为系统服务,利用 libgoogl ekernel.so 库连接至远程服务器,获取不同指令,包括下载、安装或删除某些应用程序。该威胁侵入移动设备最可能的途径是安装被不法分子修改过的固件版本。

根据 Doctor Web 公司病毒分析师收集到的信息,目前被这一恶意软件感染的移动设备已超过850 000,用户来自不同国家,包括西班牙、意大利、德国、俄罗斯、巴西、美国以及东南亚的一些国家。但大部分被感染用户(92%)来自中国,这并不奇怪,因为木马 Android.Oldboot 主要针对的就是中国的 Android 设备用户。

oldboot_2-640x370

 

 

oldboot_3

分享到:更多 ()

评论 3

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #2

    还googlekernel gcmservice呢 !! 幼稚! 带google字样在中国根本没有存活的可能

    fsaf3年前 (2014-02-16)回复
  2. #1

    一看就是假新闻. 在中国能看到带google字样的程序和服务吗???

    fasdfasd3年前 (2014-02-16)回复