Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Erstes Bootkit für Android hat bereits 350.000 mobile Endgeräte infiziert

Hanau, 24. Januar 2014

Der IT-Sicherheitsspezialist Doctor Web warnt Android-Anwender vor einem gefährlichen Trojaner, der sich im Boot-Medium der mobilen Endgeräte versteckt und während der Initialisierung des Betriebssystems als Systemdienst gestartet wird. So verhindert der Schädling seine endgültige Deinstallation, da er bei jedem Neustart wieder ins Dateisystem des mobilen Endgeräts kopiert wird. Derzeit hat der Trojaner bereits über 350.000 mobile Endgeräte in Spanien, Italien, Deutschland, Russland, Brasilien, den USA sowie Südostasien infiziert.

Zur Verbreitung des Trojaners, der in der Dr.Web Virendatenbank als Android.Oldboot.1.origin geführt wird, verwendet der Schädling eine neuartige Methode: Durch Modifikation des Skripts /init.rc, welches zur Aktivierung grundlegender Systemkomponenten dient, und Einpflanzen des Programms /sbin/imei_chk (erkannt als Android.Oldboot.1) ins Boot-Medium des mobilen Endgeräts sorgt er dafür, dass dieses Programm bei jedem Systemstart ausgeführt wird. Dieses extrahiert die Dateien libgooglekernel.so (erkannt als Android.Oldboot.1 ) und GoogleKernel.apk (erkannt als Android.Oldboot.1.origin) in die Systempartition, welche fortan als installierte Anwendung im System erscheinen. Diese Anwendung fungiert als Systemdienst, der Verbindung zu Bot-Servern herstellt und von diesen Befehle erhalten kann, die schließlich vom privilegierten Programm /sbin/imei_chk ausgeführt werden. Höchstwahrscheinlich wurde der Schädling ursprünglich durch Aufspielen modifizierter Betriebssystemsoftware in Umlauf gebracht.

Selbst wenn die Komponenten von Android.Oldboot im Dateisystem gelöscht werden: das im Boot-Medium eingepflanzte Programm /sbin/imei_chk sorgt dafür, dass diese Komponenten bei jedem Neustart wieder installiert werden und das Betriebssystem wieder infiziert wird.

Laut Statistiken, die durch Sicherheits-Analysten von Doctor Web erhoben wurden, hat der Schädling bereits auf über 350.000 mobile Endgeräten in Spanien, Italien, Deutschland, Russland, Brasilien, den USA sowie Südostasien infiziert. Der Löwenanteil (92%) aller geschädigten Anwender befindet sich China. Dies ist nicht verwunderlich, da Android.Oldboot in erster Linie für chinesische Android-Anwender gedacht ist.

Die Verteilung der geschädigten Anwender nach Land ist dem folgenden Diagramm zu entnehmen.

Um dieser oder ähnlicher Malware nicht zum Opfer zu fallen, empfehlen wir Ihnen, nur Android-Endgeräte vertrauenswürdiger Herkunft zu benutzen und keine modifizierten Betriebssystem-Images zu verwenden.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt