Oldboot.B: android bootkit znovu a zákeřněji

ikona střetu black hat a white hat

Vysoce zákeřný trojan/bootkit Oldboot se vrací v plné síle, aby infikoval a nenechal se odstranit ze zařízení s Androidem.

Oldboot je zákeřná… věc, schopná se schovat v paměti a využít bootování tak, aby byla v podstatě neodstranitelná. Mnohé její součástí jsou v tomto duchu navrženy tak, aby infikovaly přímo systémové procesy a poté samy sebe zničily (např. proces meta_chk) – v očích bezpečnostního softwaru se pak na zařízení nic nebezpečného neděje.

Další proces agentsysline běží jako deamon na pozadí a sleduje komunikaci, aby zachytil pokyny od command-and-control serveru (dle všeho nalézajícím se na az.o65.org).

Z pohledu uživatele může dojít k zmnožení aplikací, které předtím na telefonu neměl: různých aplikací a her zaplavených reklamou.

Aby zabránil svému odstraňování, spouští Oldboot.B čistě náhodně různé události, je vybaven doplňkovým nesmyslným kódem, jeho konfigurační soubory jsou stenograficky zašifrovány v obrázcích – a ještě než spustí útočné chování, zkontroluje přítomnost SIM karty (aby nebyl spuštěn ve virtualizovaném prostředí) a pokusí se odstranit antivirový software.

Další fičury Oldboot.B:

  • tichá instalace malware aplikací na pozadí,
  • injektáž škodlivých modulů do systémových procesů,
  • ochrana proti odinstalaci malwaru,
  • pozměňování domovské stránky prohlížeče,
  • deaktivace, či rovnou odinstalace antivirů.

Zdroje