NQ Mobile Security: Первый MBR-руткит для Android

NQ Mobile SecurityИсследователи в области безопасности NQ Mobile Security сообщают о появлении новой вредоносной программы для Android – DKFBootKit, действия которой очень похожи на поведение MBR-руткита.

DKFBootKit сложней обнаружить, чем подобные вредоносные программы. Еще она обладает функционалом буткита - внедряется в загрузочные процессы операционной системы, в результате чего ее запуск происходит до инициации платформы.

При запуске приложения DKFBootKit запускает собственную службу в фоновом режиме, которая проверяет наличие root-доступа. В случае получения положительных результатов, вредонос встраивается в системный раздел с возможностью перезаписи, копируется в каталог библиотек

  • /system/lib

заменяя при этом несколько основных утилит (например, ifconfig и mount), несколько соответствующих служб, работающих в фоновом режиме

  • –т.н. daemons

(например, vold и debuggerd) и сценарии загрузки.

Таким образом, вредоносный код запускается до того, как произойдет инициация платформы. После этого он связывается со своим командно - контрольным сервером и ожидает дальнейших указаний. Поскольку вредоносная программа имеет полный доступ ко всем службам системы, то вредонос сможет выполнить любую команду своего хозяина.

Вредоносный код был обнаружен в 50 легитимных приложениях, однако все они являлись служебными программами, которым для нормальной работы необходим полный доступ ко всем службам системы (root-доступ). Поэтому, устанавливая такое приложение, пользователь может и не заметить подвоха. За последние две недели вредонос проник на 1657 устройств.


Обновлено (31.03.2012 18:06)