Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Le premier bootkit ciblant Android a infecté 350 000 appareils mobiles

Le 24 janvier 2014

Doctor Web informe les utilisateurs d’appareils Android de la détection d’un nouveau Trojan qui fonctionne comme un bootkit et se dissimule dans la mémoire flash des appareils infectés. Cela lui permet de minimiser le risque d'être supprimé, sans intervention dans le système de fichiers de l'appareil sous Android. Actuellement, ce programme malveillant fonctionne sur plus de 350 000 appareils mobiles appartenant à des utilisateurs dans différents pays : Espagne, Italie, Allemagne, Russie, Brésil, États-Unis, ainsi que dans certains pays de l'Asie du Sud-Est.

Pour distribuer le Trojan, ajouté à la base virale Dr.Web sous le nom Android.Oldboot.1.origin, les malfaiteurs ont placé l'un des composants du logiciel malveillant dans le secteur d'amorçage du système de fichiers et ont modifié le script responsable de l'activation des composants du système d'exploitation. Lors du démarrage de l'appareil mobile, ce script lance une bibliothèque Linux malveillante imei_chk (détectée par l'antivirus Dr.Web comme Android.Oldboot.1), qui extrait les fichiers libgooglekernel.so (Android.Oldboot.2) et GoogleKernel.apk (Android.Oldboot.1.origin) et les place respectivement dans les catalogues /system/lib et /system/app. Ainsi, une partie du Trojan Android.Oldboot s'installe dans le système comme une application Android et fonctionne comme un service système en se connectant à l’aide de la bibliothèque libgooglekernel.so à un serveur pour recevoir des commandes (télécharger, installer ou supprimer les applications.) Il est probable que les malfaiteurs installent sur les appareils un firmware piraté, qui comprend les modifications nécessaires au fonctionnement du Trojan.

Le danger principal est que même si les composants d’ Android.Oldboot, installés après le démarrage de l'appareil, seront supprimés, le composant imei_chk, situé dans la mémoire flash, réinstallera ces composants et réinfectera le système.

Actif dans plusieurs pays, il apparaît cependant que la plupart des utilisateurs victimes de ce Trojan se trouvent en Chine (92%), et ce n'est pas surprenant, car il Android.Oldboot les cible particulièrement.

La répartition géographique des cas d'infections détectés est représentée dans l'illustration ci-après.

Pour éviter l'infection, Doctor Web recommande de ne pas acheter d’appareils sous Android d'origine douteuse, ainsi que de ne pas utiliser des copies du système d'exploitation reçues depuis des sources non fiables.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg