俄罗斯信息安全反病毒产品厂商Doctor Web公司提醒安卓系统用户:新出现一个危险性极大的木马,此木马驻留于被感染移动设备的内置闪存,在加载操作系统的初始阶段作为Bootkit启动,因此如果不改变安卓设备文件系统构架,就基本上无法将其删除。目前被这一恶意软件感染的移动设备已超过850 000个,遍及中国、西班牙、意大利、德国、俄罗斯、巴西、美国以及东南亚地区一些国家的用户。
Dr.Web病毒数据库将这一新木马命名为Android.Oldboot.1.origin,此次不法分子使用的方式不同寻常:是将恶意软件的一个组件放置到文件系统启动分区中,并以相应方式修改负责操作系统组件激活次序的脚本。当打开移动设备时,该脚本会启动木马的Linux库imei_chk(Dr.Web反病毒软件将其侦测为Android.Oldboot.1),在运行过程中提取文件libgooglekernel.so(Android.Oldboot.2)和GoogleKernel.apk(Android.Oldboot.1.origin),并将其分别放置到/system/lib和/system/app目录中。这样,木马的组成部分Android.Oldboot就被作为普通的安卓应用安装到系统中,接下来成为系统服务,利用libgooglekernel.so库连接至远程服务器,获取不同指令, 包括下载、安装或删除某些应用程序。该威胁侵入移动设备最可能的途径是安装被不法分子修改过的固件版本。