我听说有一种新型恶意软件能够在设备中下载、安装和删除应用,而在设备开启时消失。并且,该恶意软件的元件会留在设备中,当设备重新启动后重新自行安装。请问这个恶意软件是如何运作的,我们应该怎么根除它?是否有方法能够真正彻底地摆脱它?
Nick Lewis:这是恶意软件非常常见的特性,即下载和安装其他应用来接近攻击者的目标,例如 bootkit木马Trojan Android. Oldboot。通常情况下,恶意软件只是进入系统的切入点;它然后会使用附加模块(例如来自漏洞利用工具包的模块)来获取管理权限, 并安装一个rootkit来完成攻击的其余部分。
然而,当设备开启时,删除应用或者恶意软件删除自身的行为并不常见。有时候,一个攻击会修复自身,或者以其他方式保护攻击的系统,以便其他攻击者不能攻击。请注意,这种类型的攻击还没有在Android系统中被广泛报道,但常用于基于Windows的恶意软件。这表明,Android恶意软件正在使用来自Windows恶意软件的技术,或者Windows恶意软件开始瞄准Android。Android操作系统是基于Linux,用于攻击Linux 系统的技术正被用于攻击Android系统。
与Windows中的一样,这个Android.Oldboot恶意软件将自己安装在文件系统的引导分区,这样每次设备重新启动时都会加载它。这给恶意软件提供了在设备上的持久性来保持控制。
从移动设备删除恶意软件的最简单方法是对设备完全恢复出厂设置。或者,你可以重新安装所有已知良好的固件,但对于最终用户来说,这可能很难,并且,因为很多公司不支持智能手机或Android,用户很可能要找供应商或零售商获得支持。
从你的企业删除这种恶意软件的唯一确定的方法是从已知可信赖的供应商或零售商购买新的设备。