法治时空(http://www.ghwshi.cn/):谨慎刷机,首款安卓Bootkit木马曝光
安卓威胁快报,据俄罗斯安全公司Dr.Web(大蜘蛛)最新安全公告,近期检测到Android平台一个新Bootkit恶意程序,应用名为Android.Oldboot.1,据该公司称,这也是目前首款针对安卓平台Bootkit安全威胁。
很多人并不了解这个Bootkit,其实Bootkit前身也是内核模式Rootkit,也是目前一个新变种恶意程序,可以感染安卓系统中的启动代码,用于攻击全盘加密系统,同时该恶意程序也降低自己被删除的几率,并且无需修改当前设备的文件系统。
据Dr.Web安全公告显示,目前该安卓恶意程序已经感染了全球35万多台设备,覆盖了西班牙、意大利、德国、巴西、俄罗斯、美国以及一些东南亚国家,其中92%的受感染设备位于中国区,因此,国内安卓设备用户将面临严峻安全威胁。
另外该安卓恶意程序关键之处,它并不是简单依赖上网,打开邮件附件或者加载未知应用而被感染,而是有目的性感染,或者出厂设备存在问题,或者被人为部署到安卓智能机、平板设备中。
Dr.Web公司解释道:设备被感染后,该安卓恶意程序其中组件将感染植入到安卓文件系统启动引导分区,然后修改负责初始化OS的脚本文件。
当设备开启后,修改后的脚本将加载恶意程序Linux库中imei_chk,然后解压出libgooglekernel.so、GoogleKernel.apk到/system/lib和/system/app两个目录下。
这时,Android.Oldboot恶意程序中的部分组件将生成一个常规应用,安装到安卓系统成为系统服务。
随后,使用libgooglekernel.so库功能连接到远程服务器,接收相关命令指令,可以实现下载、安装甚至移除相关的安卓应用。
据Dr.Web公司介绍,目前该安卓恶意程序主要来源是第三方的刷机ROM。
除此之外,IT之家也报道了《安卓党当心,Windows版病毒盯上你的设备》,对于国内安卓爱好者,刷机前一定要谨慎。