OldBoot bootkit - jeden z najbardziej zaawansowanych malware na Androida

Dzięki zespołowi Microsoft, od 8 kwietnia Windows XP umiera śmiercią naturalną i zapewne bardzo powolną. Cyberprzestępcy na wieść o zakończeniu wsparcia aktualizacji zacierają recę. O ile wiadomości na temat bezpieczeństwa desktopów w tym tygodniu jest jak na lekarstwo, o tyle na Androida pojawił się jeden z groźniejszych malware jaki powstał do tej pory. 

Przez ostatni tydzień trudno było znaleźć ciekawe informacje na temat ataków na Windows XP. To był spokojny tydzień, przynajmniej w porównaniu do ostatniego, gdzie pojawiła się luka zero-day na Microsoft Outlook i Word. Użytkownicy Androida nie mogą jednak spać spokojnie. W tym tygodniu odnotowano pojawienie się jednego z najbardziej zaawansowanych bootkitów na Androida (w nomenklaturze Emsisoft: OldBoot.B.)

OldBoot Origins

OldBoot.B jest to bootkit z rodziny rootkitów - nowy wariant swojego poprzednika Oldboot.A (pierwszy bootkit na Androida). Bootkit to rodzaj rootkita - jest to bardzo niebezpieczne złośliwe oprogramowanie, które udziela atakującemu prawa "root" lub uprawnienia administratora komputera, co pozwala na pełną kontrolę systemu i zdolność do ukrywania złośliwego działania lub złośliwego oprogramowania. Bootkity wzięły swoją nazwę od "boot"-owania komputera, który może być zarażony złosliwym kodem podczas startu. 

OldBoot.B celuje kodem w sektor rozruchowy systemu operacyjnego i umożliwia napastnikowi kontrolę i szkodliwą manipulację.

Możliwości OldBoota

Zarówno OldBoot.A jak i  OldBoot.B jest przeznaczony przede wszystkim do komunikacji pomiędzy podsystemami złośliwego serwera sterującego C&C. Po nawiązaniu połączenia, urządzenia z systemem Android mogą automatycznie i w tle ściągać aplikacje cyberprzestępcy lub wysyłać wiadomości tekstowe w ramach usług premium SMS. W obu przypadkach celem atakującego jest zysk, a właściciel zainfekowanego urządzenia dostaje gigantyczny i niespodziewany rachunek do zapłaty.

Oprócz zdalnej i ukrytej instalacji aplikacji OldBoot.B potrafi też:

  • uniemożliwić deinstalację szkodliwej aplikacji
  • modyfikować stronę główną w przeglądarce
  • wstrzykiwać szkodliwe moduły do ​​krytycznych procesów systemowych
  • odinstalować lub wyłączyć zaufane aplikacje i zaplikcje, z których najczęściej korzystasz 

OldBoot w Polsce

OldBoot odnosi sukces szczególnie w kraju swojego pochodzenia - w Chinach. Jednak nie tylko Chińczycy są narażeni na OldBoota, lecz większość użytkowników, którzy nie korzystają z antywirusów mobilnych. Niepokojące jest to, że charakter technologii użytej do tego bootkita wyraźnie pokazuje, iż środowisko Androida jest na celowniku profesjonalnych twórców szkodliwego oprogramowania.

Aby uniknąć zakażenia OldBootem, zaleca się szczególną ostrożność podczas pobierania aplikacji firm trzecich. OldBoot wykorzystuje metodologię trojana jako sposób reprodukowania i ukrywania się, wykonując swoje szkodliwe działania w tle urządzenia.

źródło: Esmisoft



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.