Российская компания “Доктор Веб”, специализирующаяся на создании продуктов в сфере информационной безопасности, сообщила об обнаружении первого буткита для операционной системы Android.
Буткиты — один из сложнейших для обнаружения и удаления типов вредоносных программ, которые “проживают” не в пределах операционной системы, а в прошивках загрузчика или средств восстановления, инфицируя пользовательскую систему на начальном процессе загрузки операционной системы. Таким образом, даже если пользователю удастся вылечить или удалить инфицированные файлы, то при последующей перезагрузке буткит вновь заразит систему, и всё начнётся сначала.
Буткит под названием Android.Oldboot.1 начинает свою работу ещё на этапе инициализации ядра Linux, запуская специальную библиотеку, которая проводит установку специального приложения и сопутствующей службы в системный раздел Android. При завершении загрузки, служба-троян продолжает работать в фоновом режиме и при подключении к Интернету устанавливает соеденинение с удалённым сервером, который по команде злоумышленника может начать загрузку приложений или удалить пользовательские данные, включая приложения.
Учитывая архитектуру операционной системы Android, где пользовательское окружение работает в виртуальной машине Dalvik, а пользователь не имеет доступа к системной области, то удалить компоненты трояна фактически невозможно. Если даже пользователь сможет получить права суперпользователя, и выдать их некоторым антивирусным продуктам для работы, то удаление трояна не приведёт к излечению, так как буткит из области загрузчика, недоступного из Android даже с правами суперпользователя, снова установит троян при первой перезагрузке.
Заразиться буткитом тоже невозможно обычными способами. Пользователь либо должен сам установить заражённый загрузчик, что является весьма нетривиальной задачей, требующей хорошей технической подготовки, либо этот буткит устанавливается производителем устройства на заводе. По данным “Доктор Веб” около 92% из 350 тысяч заражённых устройств географически находятся в Китае, поэтому второй вариант всё же более вероятен, так как производством Android-устройств в Поднебесной занимается огромное количество компаний, и нет никаких гарантий, что все они преследуют добрые намерения. Впрочем, в России тоже обнаружено около 1300 таких устройств, поэтому необходимо сохранять бдительность.
География распространения буткита
В “Доктор Веб” сообщают, что вылечить буткит средствами системы и антивирусных программ невозможно, поэтому рекомендуют выполнять ряд профилактических мер. Во-первых, избегать покупки устройств неизвестного присхождения, будь то неизвестные фирмы-производители или просто приобретение даже брендового устройства на вторичном рынке. Во-вторых, не прибегать к разблокировке загрузчика устройства и установке альтернативных прошивок из недоверенных источников. Единственным методом удаления буткита является установка неинфицированного загрузчика, существование которого возможно лишь теоретически, так как в компании не имеют точных данных об этом.