13

Ponad 350 tys. Androidów zarażonych. Czy Twój jest wśród nich?

Malware w świecie Androida nie jest niczym nowym. Według niektórych szacunków 99 proc. złośliwych programów wycelowanych w urządzenia mobilne jest zaprojektowanym pod kątem ataku na zielonego robota. Do tej pory nie było jednak przypadku tak masowego ataku. Ofiarą padło 350 tys. urządzeń na całym świecie. Jak podaje rosyjska firma Dr.Web specjalizująca się w zabezpieczeniach (i […]

Malware w świecie Androida nie jest niczym nowym. Według niektórych szacunków 99 proc. złośliwych programów wycelowanych w urządzenia mobilne jest zaprojektowanym pod kątem ataku na zielonego robota. Do tej pory nie było jednak przypadku tak masowego ataku. Ofiarą padło 350 tys. urządzeń na całym świecie.

Jak podaje rosyjska firma Dr.Web specjalizująca się w zabezpieczeniach (i znana z programu antywirusowego o tej samej nazwie) mamy do czynienia z pierwszym malware typu bootkit. Oznaczono go jako Android.Oldboot.1. Infekuje pliki startowe systemu i uzyskuje dostęp do partycji systemowej. Co więcej, potrafi zainfekować systemy szyfrowania dysku i zminimalizować możliwość pozbycia się go z urządzenia.

oldboot_1

Złośliwy kod zostaje osadzony na partycji startowej. Gdy urządzenie zostaje włączone, skrypt wczytuje dodatkowe biblioteki Linuksa imei_chk, które rozpakowują libgooglekernel.so. Ten natomiast instaluje aplikację GoogleKernel.apk, umieszczając ją w lokalizacji system/lib and /system/app. Biblioteka libgooglekernel.so pozwala na połączenie ze zdalnym serwerem. Ten może natomiast wydawać mu polecenia – w tym instalować lub usuwać nowe aplikacje.

Bootkit to dość stara metoda ataku, którą bardzo często praktykowano w czasach MS-DOS i Windows 3.11-95/98. Od niedawna jednak wróciła do łask, co widać na powyższym przykładzie. Możemy usuwać dowolną ilość razy aplikację GoogleKernel.apk, ale będzie ona wracała przy każdym starcie urządzenia. Jedynym pocieszeniem jest fakt, że smartfonów i tabletów nie uruchamiamy tak często jak komputerów.

Zainfekowanych może być ponad 350 tys. urządzeń z całego świata. Najwięcej, bo aż 92 proc. pochodzi z Chin. Na drugim miejscu z 2,1 proc. znajduje się Hiszpania. Potem znalazły się też: Malezja, Włochy, Wietnam, Rosja, Tajlandia, USA, Niemcy i Brazylia. Teoretycznie nie ma nas w tym zestawieniu, ale ofiarą ataku prawdę mówiąc mógł paść każdy.

oldboot_2

Na podstawie tych danych można wnioskować, że zagrożenie nie rozprzestrzenia się za pomocą stron www, załączników do wiadomości e-mail czy nawet zainfekowanych aplikacji. Może ono trafić do nas natomiast wraz z zakupionym smartfonem, do którego haker miał fizyczny dostęp. Nie bez znaczenia jest tak duża popularność malware w Chinach. Sprawia to, że importowanie stamtąd tanich smartfonów i tabletów (nazywanych „no-name”) może wiązać się z dodatkowym zagrożeniem. Pewne obawy mogą budzić też modyfikacje Androida (Custom ROM-y). Niewykluczone, że bootkit rozprzestrzenia się wraz z jednym z nich.

Daję sobie rękę uciąć, że nie jest to pierwszy przypadek, kiedy czytamy o tego typu ataku na Androida. Będzie ich więcej. Popularność systemu niesie za sobą wiele konsekwencji, wśród których znajduje się również rosnące zainteresowanie cyberprzestępców. Microsoft coś o tym wie. Teraz przekonuje się o tym Google.