Oldboot.B: androidí malware se vrací po přezbrojení

Oldboot je navržen tak, aby byl schopen znovu infikovat cílové zařízení i po úplném vyčištění. Schovává se v paměti infikovaných zařízení, pozměňuje bootovací partion a skript tak, aby byl malware extrahován na začátku bootování. Po infikování zařízení stále monitoruje komunikační pakety a přijímá pokyny od C&C serveru (umístěném na az.o65.org - IP adresa 61.160.248.67). Uživatel může po nakažení zaznamenat, že se v systému objevují různé nové aplikace, většinou zaplavené reklamou, které sám neinstaloval.

Oldboot.B oproti své A verzi disponuje dalšími schopnostmi:

• tiše na pozadí instaluje škodlivé aplikace,
• je schopen injektovat škodlivé moduly přímo do systémových procesů,
• zabraňuje odinstalaci malwarových aplikací,
• modifikuje homepage browseru,
• je schopen zneškodnit, či rovnou odinstalovat antivirové programy.

Tím výčet jeho schopností nekončí. Aby dále znesnadnil svou likvidaci:

• je doplněn náhodným, nesmyslným kódem,
• nahodile spouští některé události,
• ještě než iniciuje útočné chování...
• se snaží odinstalovat antivirové programy a
• skenuje přítomnost SIM karty (aby se nespouštěl v simulovaném prostředí).

Dle objevitelů – bezpečnostního týmu 360 Mobile Security, se jedná o zatím nejsofistikovanější androidí malware. Removal tool by se měl nacházet zde.

Zdroje: The Hacker News, Security Affairs, Blog 360.cn