"Доктор Веб": Обнаружен новый троян для Android

Как сообщили эксперты компании «Доктор Веб», для мобильной платформы Android появился новый троян. Особенностью вредоноса является то, что он располагается во встроенной флэш-памяти зараженных мобильных устройств и функционирует как буткит. Поскольку троян запускается на ранней стадии загрузки ОС, возможность его удаления без вмешательства в структуру файловой системы сводится к минимуму.

Вредоносное ПО загружается на устройство следующим образом: сначала один из его компонентов попадает в загрузочный раздел файловой системы и меняет скрипт, который отвечает за последовательность активации компонентов платформы. Далее, когда устройство выключается, измененный сценарий запускает троянскую Linux-библиотеку imei_chk. В свою очередь, она извлекает файлы libgooglekernel.so и GoogleKernel.apk и помещает их в каталоги /system/lib и /system/app соответственно.

Из этого следует, что часть вредоносного ПО устанавливается на устройство в виде обычного Android-приложения. С помощью библиотеки libgooglekernel.soк осуществляется подключение смартфона или планшета к удаленному серверу, передающему различные команды.

По словам экспертов, троян наверняка попадает на мобильное устройство через модифицированную заранее версию прошивки. В настоящее время вредонос активен на 350 тыс. систем.