谨慎刷机，首款安卓Bootkit木马曝光

发表于：2014-01-28 16:56 作者：baidu.com 来源：baidu.com

安卓威胁快报，据俄罗斯安全公司Dr.Web（大蜘蛛）最新安全公告，近期检测到Android平台一个新Bootkit恶意程序，应用名为Android.Oldboot.1，据该公司称，这也是目前首款针对安卓平台Bootkit安全威胁。

很多人并不了解这个Bootkit，其实Bootkit前身也是内核模式Rootkit，也是目前一个新变种恶意程序，可以感染安卓系统中的启动代码，用于攻击全盘加密系统，同时该恶意程序也降低自己被删除的几率，并且无需修改当前设备的文件系统。

据Dr.Web安全公告显示，目前该安卓恶意程序已经感染了全球35万多台设备，覆盖了西班牙、意大利、德国、巴西、俄罗斯、美国以及一些东南亚国家，其中92%的受感染设备位于中国区，因此，国内安卓设备用户将面临严峻安全威胁。

另外该安卓恶意程序关键之处，它并不是简单依赖上网，打开邮件附件或者加载未知应用而被感染，而是有目的性感染，或者出厂设备存在问题，或者被人为部署到安卓智能机、平板设备中。

Dr.Web公司解释道：设备被感染后，该安卓恶意程序其中组件将感染植入到安卓文件系统启动引导分区，然后修改负责初始化OS的脚本文件。

当设备开启后，修改后的脚本将加载恶意程序Linux库中imei_chk，然后解压出libgooglekernel.so、GoogleKernel.apk到/system/lib和/system/app两个目录下。

这时，Android.Oldboot恶意程序中的部分组件将生成一个常规应用，安装到安卓系统成为系统服务。

随后，使用libgooglekernel.so库功能连接到远程服务器，接收相关命令指令，可以实现下载、安装甚至移除相关的安卓应用。

据Dr.Web公司介绍，目前该安卓恶意程序主要来源是第三方的刷机ROM。

除此之外，IT之家也报道了《安卓党当心，Windows版病毒盯上你的设备》，对于国内安卓爱好者，刷机前一定要谨慎。