Oldboot Android-Trojaner zielte auf China
Russische Sicherheitsforscher warnen vor einem Android-Trojaner, bekannt als Oldboot, der bereits 350.000 Geräte weltweit infiziert hat. Es ist schwierig, die Malware zu löschen, da einige ihrer Komponenten in die Bootsystem-Partition des Dateiverwaltungssystems geladen werden. Da es sich wie ein Bootkit verhält, ist es unwahrscheinlich, dass es gelöscht wird. Oldboot könnte sich durch Firmware verbreiten, die mit der Malware platziert wurde. Die Mehrheit der infizierten Geräte befinden sich in China, aber auch in Spanien, Italien, Deutschland, Russland, Brasilien, den USA und einigen Ländern in Südost-Asien.
Die ungewöhnliche Technik beinhaltet:
„Eine der Trojaner-Komponenten in die Boot-Partition des Dateiverwaltungssystems zu platzieren und das init-Script zu modifizieren. Dieses ist verantwortlich für die Initialisierung der Betriebssystem-Komponenten. Sobald das Mobiltelefon dann eingeschaltet wird, lädt dieses Script den Code der trojanischen Bibliothek imei_chk (Der Dr.Web Anti-Virus spürt ihn als Android.Oldboot.1 auf), der die Dateien libgooglekernel.xo (Android.Oldboot.2) und GoogleKernel.apk (Android.Oldboot.1.origin) extrahiert und sie entsprechend in /system/li band/system/app einfügt.“
Die Bootkit-Operation von Oldboot verleitet Dr. Web zu der Annahme, dass es über eine korrupte Firmware verbreitet wird, die die Opfer auf ihren Geräten verwenden. Ist Oldboot einmal installiert, verbindet es sich zu einem Remote-Server und erhält von dort entsprechende Befehle.
Artikel von theregister.co.uk, 05.02.2014: China targeted by new Android Trojan