俄羅斯信息安全反病毒產品廠商 Doctor Web公司提醒 Android 系統用戶:新出現一個危險性極大的木馬,此木馬駐留於被感染移動設備的內置閃存,在加載操作系統的初始階段作為 Bootkit 啟動,因此如果不改變 Android 設備文件系統構架,就基本上無法將其刪除。目前被這一惡意軟件感染的移動設備已超過 850,000個,遍及中國、西班牙、意大利、德國、俄羅斯、巴西、美國以及東南亞地區一些國家的用戶。
Dr.Web病毒數據庫將這一新木馬命名為 Android. Oldboot.1 .origin,此次不法分子使用的方式不同尋常:是將惡意軟件的一個組件放置到文件系統啟動分區中,並以相應方式修改負責操作系統組件激活次序的腳本。當打開移動設備時,該腳本會啟動木馬的 Linux 庫 imei_ chk(Dr.Web反病毒軟件將其偵測為 Android. Oldboot.1),在運行過程中提取文件libgoogle kernel.so(Android.Oldboot. 2)和 GoogleKernel.apk(Android. Oldboot.1 .origin),並將其分別放置到 /system/lib 和 /system/app 目錄中。這樣,木馬的組成部分 Android.Oldboot 就被作為普通的 Android 應用安裝到系統中,接下來成為系統服務,利用 libgoogl ekernel.so 庫連接至遠程服務器,獲取不同指令,包括下載、安裝或刪除某些應用程序。該威脅侵入移動設備最可能的途徑是安裝被不法分子修改過的固件版本。
根據 Doctor Web 公司病毒分析師收集到的信息,目前被這一惡意軟件感染的移動設備已超過850 000,用戶來自不同國家,包括西班牙、意大利、德國、俄羅斯、巴西、美國以及東南亞的一些國家。但大部分被感染用戶(92%)來自中國,這並不奇怪,因為木馬 Android.Oldboot 主要針對的就是中國的 Android 設備用戶。
下圖清晰顯示了被感染用戶的地理分佈。
為防止被新木馬以及其他各種惡意軟件感染,Doctor Web公 司建議用戶不要購買來歷不明的 Android 設備,也不要使用來源不明的操作系統映像。
