FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Erstes Bootkit für Android hat bereits 350.000 mobile Endgeräte infiziert

Hanau, 24. Januar 2014

Der IT-Sicherheitsspezialist Doctor Web warnt Android-Anwender vor einem gefährlichen Trojaner, der sich im Boot-Medium der mobilen Endgeräte versteckt und während der Initialisierung des Betriebssystems als Systemdienst gestartet wird. So verhindert der Schädling seine endgültige Deinstallation, da er bei jedem Neustart wieder ins Dateisystem des mobilen Endgeräts kopiert wird. Derzeit hat der Trojaner bereits über 350.000 mobile Endgeräte in Spanien, Italien, Deutschland, Russland, Brasilien, den USA sowie Südostasien infiziert.

Zur Verbreitung des Trojaners, der in der Dr.Web Virendatenbank als Android.Oldboot.1.origin geführt wird, verwendet der Schädling eine neuartige Methode: Durch Modifikation des Skripts /init.rc, welches zur Aktivierung grundlegender Systemkomponenten dient, und Einpflanzen des Programms /sbin/imei_chk (erkannt als Android.Oldboot.1) ins Boot-Medium des mobilen Endgeräts sorgt er dafür, dass dieses Programm bei jedem Systemstart ausgeführt wird. Dieses extrahiert die Dateien libgooglekernel.so (erkannt als Android.Oldboot.1 ) und GoogleKernel.apk (erkannt als Android.Oldboot.1.origin) in die Systempartition, welche fortan als installierte Anwendung im System erscheinen. Diese Anwendung fungiert als Systemdienst, der Verbindung zu Bot-Servern herstellt und von diesen Befehle erhalten kann, die schließlich vom privilegierten Programm /sbin/imei_chk ausgeführt werden. Höchstwahrscheinlich wurde der Schädling ursprünglich durch Aufspielen modifizierter Betriebssystemsoftware in Umlauf gebracht.

Selbst wenn die Komponenten von Android.Oldboot im Dateisystem gelöscht werden: das im Boot-Medium eingepflanzte Programm /sbin/imei_chk sorgt dafür, dass diese Komponenten bei jedem Neustart wieder installiert werden und das Betriebssystem wieder infiziert wird.

Laut Statistiken, die durch Sicherheits-Analysten von Doctor Web erhoben wurden, hat der Schädling bereits auf über 350.000 mobile Endgeräten in Spanien, Italien, Deutschland, Russland, Brasilien, den USA sowie Südostasien infiziert. Der Löwenanteil (92%) aller geschädigten Anwender befindet sich China. Dies ist nicht verwunderlich, da Android.Oldboot in erster Linie für chinesische Android-Anwender gedacht ist.

Die Verteilung der geschädigten Anwender nach Land ist dem folgenden Diagramm zu entnehmen.

Um dieser oder ähnlicher Malware nicht zum Opfer zu fallen, empfehlen wir Ihnen, nur Android-Endgeräte vertrauenswürdiger Herkunft zu benutzen und keine modifizierten Betriebssystem-Images zu verwenden.

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare