حذّرت شركة مكافح الفيروسات “دكتور ويب” Doctor Web المستخدمين من برمجية خبيثة (تروجان) خطيرة خاصة بأجهزة “أندرويد” تكمن في ذاكرة الأجهزة المصابة وتشغّل نفسها باكراً في مرحلة تشغيل نظام التشغيل، بوصفها عدّة إقلاع. هذه العدّة تسمح للبرمجية الخبيثة (تروجان) بتقليل إمكانية حذفها من دون التلاعب بملفات نظام تشغيل الجهاز.
تنتشر البرمجية الخبيثة التي أدخلت في قاعدة بيانات الفيروسات الخاصة بـ “دكتور ويب” على أنها Android.Oldboot.1.origin، استخدم المهاجمون تقنيات غير تقليدية، وهي وضع أحد المكوّنات في قسم الإقلاع وتعديل البرمجية النصية المسؤولة عن تهيئة مكوّنات نظام التشغيل.
عند تشغيل جهاز الهاتف الجوال، تقوم البرمجية بتحميل رمز مكتبة “لينوكس” الخاصة بالبرمجية الخبيثة “imei_chk” (مضاد الفيروسات “دكتور ويب” قام بالكشف عنها على أنها android.oldboot.1) التي تقوم باستخراج الملفات libgooglekernel.so (Android.oldboot.2) وGoogleKernel.apk (Android.Oldboot.1.origin) ومن ثم وضعها في المسار /system/lib و /system/app على التوالي، وبالتالي، جزء من البرمجية الخبيثة Android.Oldboot يتم تنصيبه كتطبيق الأمر الذي يجعله يعمل كخدمة في نظام التشغيل وتستخدم مكتبة libgooglekernel.so للاتصال بمخدّم خارجي ويستقبل عدداً من الأوامر، وعلى الأخص لتحميل تطبيقات معيّنة وتنصيبها وإزالتها، وإعادة تنصيب نسخة معدلة من نظام التشغيل تحتوي على الإجراءات المطلوبة لجعل البرمجية الخبيثة تعمل على النحو الذي تم تقديمها به.
هذه البرمجية الخبيثة خطيرة بشكل خاص، وذلك بسبب أن بعض عناصر Android.Oldboot التي تم تنصيبها في جهاز الهاتف المحمول بعد تشغيله تمت إزالتها ولكن المكوّن imei_chk لا زال موجوداً في المنطقة المحميّة من الذاكرة وستقوم بإعادة تنصيب البرمجية الخبيثة بعد إعادة الإقلاع، وبالتالي إعادة إصابة النظام.
وفقاً للمعلومات التي تم الحصول عليها من قبل محللي فيروسات “دكتور ويب”، يعمل حالياً هذا البرنامج الخبيث على أكثر من 350 ألف جهاز هاتف محمول تعود إلى عدد من الدول من ضمنها إسبانيا وإيطاليا وألمانيا وروسيا والبرازيل وأميركا وبعض الدول في جنوب شرق آسيا.
ومع ذلك، فإن معظم الأجهزة المصابة (92%) موجودة في الصين، وذلك غير مستغرب لكون البرمجية الخبيثة Android.Oldboot تستهدف الأجهزة التي تعمل على نظام التشغيل أندرويد في الصين.
يظهر التوزع الجغرافي للأجهزة المصابة على الصورة التالية:
لمنع الإصابة بواسطة هذه البرمجيات الخبيثة وغيرها من برمجيات أحصنة طروادة (تروجان)، تحذر شركة Doctor Web المستخدمين من شراء أجهزة مجهولة المنشأ ومن استخدام نسخ نظام تشغيل من مصادر غير موثوقة.
