Исследовательский центр NQ Mobile Security рассказал об обнаружении вредоносной утилиты DKFBOOTKIT, которая близка к званию I-го Android-буткита. Утилита обнаружена в ходе отслеживания и анализа эволюции вариантов раньше известного DROIDKUNGFU.
Впрочем DKFBOOTKIT использует раньше известные способы введения боевой нагрузки в обычные приложения, он специально подбирает для заражения именно те приложения, требующие рутовых привилегий. Так, DKFBOOTKIT внедряется в процесс загрузки оригинальной системы Android и подменяет ряд системных утилит (к примеру, ifconfig и mount) и демонов (vold и debuggerd).
Так как DKFBOOTKIT работает так, ему не необходимо полагаться на существующие эксплойты, по этой причине он опаснее DROIDKUNGFU.
После вышеописанных действий DKFBOOTKIT получает возможность стартовать ранее, чем грузится весь фреймворк Android. По заключению ученых NQ Mobile Security, эта утилита более близко всех приблизилась к званию полноценного буткита на Android, что представляет собою серьёзную угрозу для пользователей мобильных устройств. На сегодняшний день обнаружено лишь только возле 100 случаев заражения, однако эксперты ждут значительного увеличения этого числа в будущем.
Какие утилиты инфицирует DKFBOOTKIT? Исследование показало, что это могут быть менеджеры приложений, утилиты для подбора лицензионных ключей и для разлочки популярных игр. К примеру, ниже приводятся скриншоты одной из зараженных программ, которая предоставляет лицензионный ключ для платной утилиты ROM Manager.В конечном счете мобильные устройства, инфицированные при помощи DKFBOOTKIT, становятся частью ботнета. Эксперты теперь исследуют его C&C-серверы с целью определить назначение ботнета.
Комментариев нет:
Отправить комментарий