PokecOldboot - prvý bootkit pre Android ("vírus")

Moderátoři: Jacho, Moderátoři fór

Odpovědět
Uživatelský avatar

Autor tohoto vlákna
pRo_lama
Moderátor
Příspěvky: 6424
Registrován: pon 06. pro 2010 7:41:23
Reputace: 326
Typ mobilu / ROM: Samsung Galaxy S8
Twitter: pRo_lama
Bydliště: Praha
Kontaktovat uživatele:

Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od pRo_lama » sob 18. led 2014 10:07:22

Viem, že sa veľa nahovorilo ohľadom vírusov pre Android, ale teraz to už bohužiaľ začína byť vážne. :roll:

Objavil sa prvý bootkit. Je to úplne niečo iné než klasický malware ako napr. DroidKungfu. Ten mohol akurát tak získať root práva a robiť ďalšie veci. Ale toto je niečo iné. Rozdiel medzi klasickým malware a bootkit je zhrnutý tu:
However, there’re many differences between DroidKungfu and Oldboot. Firstly, Oldboot’s infection method isn’t simply remounting system partition and changing files like DroidKungfu, but physically operating device’s disk (through flash or dd). Secondly, Oldboot can’t been removed or repaired in the file system level, but DroidKungfu can be. At last, this attack method, which exploits boot partition’s RAM disk feature, can be easily developed to implement more advanced file system level hidden.
Tu je článok s podrobnou analýzou daného bootkitu (čiže existuje) - http://blogs.360.cn/360mobile/2014/01/1 ... n-android/

Nemal som možnosť si to ešte celé prečítať, ale asi to má niečo dočinenia aj s IMEI podľa ten schémy čo tam je. Preto nastáva táto otázka - pred pár týždňami / dňami sa objavila nová metóda root-u cez tzv. Kingo Rooting tool, ktorá root-ne mobil cez internet. Jedná sa o nejakú službu práve z Činy odkiaľ je tento bootkit. A ide o to, že nikto nevie čo ten Kingo Rooting tool robí a aké informácie získava z mobilu. Už som tu raz písal, že na XDA písali ľudia, že netušia aká metóda sa používa a čo všetko získava z mobilu. Písalo sa aj o tom, že môže kopírovať EFS zložku, kde je práve uložené IMEI. Takže možno existuje nejaké prepojenie na to.

Dodám, že článok zverejnil Chainfire na svojom G+ účte, takže určite to nebude nejaká pochybná informácia.


MOBIL: Samsung Galaxy S8 (64 GB) | TABLET: Nexus 7 (2013)
GADGET: Samsung Gear S2 (SM-R720) + Samsung Gear Fit (SM-R350) + Sony SmartWatch 2


Uživatelský avatar

ramon.dexter
Moderátor
Příspěvky: 12626
Registrován: pon 04. kvě 2009 18:04:58
Reputace: 43
Typ mobilu / ROM: xiaomi mi 9/stock ROM
Tablet: huawei mediapad 8.3 - stock
Bydliště: Kozolupy

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od ramon.dexter » sob 18. led 2014 12:56:29

Proto taky oořád říkám, že je hovadina cpát root do tovární ROMky. Zvlášť kdejakým pochybným toolem, u kterýho člověk pořádně neví, co dělá...

Když root, tak kompletně odemknout a flashnout už rootnutou upravenou ROM. Tam je nebezpečí nepoměrně menší.
...jestli budete práskat práskací kuličky...to si taky zapráskám!!!
---------------------------------------------------------------------
obchoduji s chlupatou kapustou ;)

Uživatelský avatar

don_alex
Administrátor
Příspěvky: 9915
Registrován: ned 26. srp 2012 16:11:34
Reputace: 374
Typ mobilu / ROM: Samsung Galaxy Note 9, 512GB [SM-N960F] [Stock]
Mobil 2 / ROM: Samsung Galaxy Note 4 [SM-N910C] [Stock]
Tablet: Samsung Galaxy Note 10.1 [GT-N8000] [Stock+root]

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od don_alex » sob 18. led 2014 17:56:47

Nějak mi uniká, proč by nemělo smysl cpát root do tovární romky...

@phablet
:palec: Chceš-li poděkovat, klikni na palec :palec:

SERVIS MT => Unbrick | oprava IMEI a S/N | JTAG | unlock | flash ROM | atd. <= VÍCE PŘES SZ
Moje hračky: SM-N960F [Stock] | SM-N910C [Stock] | GT-N7100 [Stock+Root] | GT-N8000 [Stock+Root] | Sony SW2


ludekbrno
Terminátor
Příspěvky: 16661
Registrován: ned 27. bře 2011 12:16:16
Reputace: 204
Typ mobilu / ROM: Xiaomi Redmi Note 4X global

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od ludekbrno » sob 18. led 2014 19:17:36

Já bych to pochopil tak, že pro rootnutí stock ROM je potřeba hrabat se v systému nějakým nástrojem, často pochybného původu kdesi z číny, který v telefonu vleze kdo ví kam. Taky jsem u svého telefonu nebyl z toho čínského programu úplně klidný, zvlášť když mi to tam na nainstalovalo místo Speruser nebo SuperSU jakousi čínskou appku pro přidělování root oprávnění, která navíc stále běžela na pozadí. Horko těžko se mi jí podařilo zbavit a zprovoznit místo ní prověřený SuperSU. U kompletní ROM už rootnuté od důvěryhodného vývojáře není potřeba už takové pochybné programy pro rootnutí používat. Nicméně já jsem zastáncem továrních ROM, takže doufám, že jsem si nějakou štěnici (kromě samotného google :-) ) do telefonu nenasadil.

píšu z mobilu
LG L 9II se stock ROM 4.1.2 + root. Vzhledem k parádní vyladěnosti stock ROM nebudu s velkou provděpodobností uvažovat o jakékoliv custom ROM.

Uživatelský avatar

don_alex
Administrátor
Příspěvky: 9915
Registrován: ned 26. srp 2012 16:11:34
Reputace: 374
Typ mobilu / ROM: Samsung Galaxy Note 9, 512GB [SM-N960F] [Stock]
Mobil 2 / ROM: Samsung Galaxy Note 4 [SM-N910C] [Stock]
Tablet: Samsung Galaxy Note 10.1 [GT-N8000] [Stock+root]

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od don_alex » sob 18. led 2014 20:23:54

Naštěstí jsem ještě nemusel rootovat pochybnou čínskou aplikací, takže jsem tento problém ještě neřešil. Pravda, v takovém případě bych taky nebyl úplně ve své kůži. Ale pokud na zařízení existuje root od prověřeného autora, tak nevidím v rootování továrních rom nic špatného. ;-)

@phablet
:palec: Chceš-li poděkovat, klikni na palec :palec:

SERVIS MT => Unbrick | oprava IMEI a S/N | JTAG | unlock | flash ROM | atd. <= VÍCE PŘES SZ
Moje hračky: SM-N960F [Stock] | SM-N910C [Stock] | GT-N7100 [Stock+Root] | GT-N8000 [Stock+Root] | Sony SW2


Uživatelský avatar

Autor tohoto vlákna
pRo_lama
Moderátor
Příspěvky: 6424
Registrován: pon 06. pro 2010 7:41:23
Reputace: 326
Typ mobilu / ROM: Samsung Galaxy S8
Twitter: pRo_lama
Bydliště: Praha
Kontaktovat uživatele:

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od pRo_lama » sob 18. led 2014 20:56:23

Prečítal som si ten článok o tom a musím povedať, že je to svinská vec. :D

Nechce sa mi písať čo všetko to robí, ale v princípe ide o to, že do mobilu sa dostanú určité súbory, tam kde by sa nemali. Malo by sa jednať o infikovaný boot.img, ktorý je naflashovaný do mobilu (to je jeden spôsob, ten druhým som nejako extra nepochopil, ale malo by sa jednať asi o nejakú metódu na diaľku ako ten root čo som spomínal vyššie). Čiže klasické anti-vírusové app ho nedokážu vymazať, lebo všetky súbory sa každým zapnutým mobilu vždy znova "nainštalujú".

Písali tam o tom, že väčšina infikovaných mobilov bola neznámych značiek a písali aj o konkrétnom "stredisko" kde sa to celé robilo. Iba pár z nich bolo od známych výrobcov. Oni mali nejaký Note 2 v ruke.

Ale výsledok je asi taký, že keď flashnete novú stock ROM, tak všetko je preč, lebo sa flashuje aj boot.img. :lol: Avšak informácie, ktoré medzi tým získa môžu byť už dávno preč, lebo jednu vec čo robí ten bootkit je to, že sleduje SMS a v nich určité dáta a keď ich nájde, tak si ich pošle na svoj server a danú SMS vymaže.
MOBIL: Samsung Galaxy S8 (64 GB) | TABLET: Nexus 7 (2013)
GADGET: Samsung Gear S2 (SM-R720) + Samsung Gear Fit (SM-R350) + Sony SmartWatch 2


ludekbrno
Terminátor
Příspěvky: 16661
Registrován: ned 27. bře 2011 12:16:16
Reputace: 204
Typ mobilu / ROM: Xiaomi Redmi Note 4X global

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od ludekbrno » sob 18. led 2014 21:00:50

Já taky ne, když jsem rootoval tovární ROM na LG OO nějakým běžný ověřeným postupem z XDA, tak jsem byl taky v klidu. Jinak já jsem obecně spíš zastáncem tovární ROM, protože na CM9 jsem měl hromadu drobných nedodělků a chyb, přestože to byla final verze. Jediným důvodem, proč jsem CM nechal, bylo to, že stock končil na 2.3.3 a to už byl hodně problém kvůli kompatibilitě aplikací. Jinak bych zůstal na tovární ROM.

píšu z mobilu
LG L 9II se stock ROM 4.1.2 + root. Vzhledem k parádní vyladěnosti stock ROM nebudu s velkou provděpodobností uvažovat o jakékoliv custom ROM.

Uživatelský avatar

don_alex
Administrátor
Příspěvky: 9915
Registrován: ned 26. srp 2012 16:11:34
Reputace: 374
Typ mobilu / ROM: Samsung Galaxy Note 9, 512GB [SM-N960F] [Stock]
Mobil 2 / ROM: Samsung Galaxy Note 4 [SM-N910C] [Stock]
Tablet: Samsung Galaxy Note 10.1 [GT-N8000] [Stock+root]

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od don_alex » ned 19. led 2014 0:00:53

Taky jsem zastáncem spíš tovární rom, ale kvůli KNOX momentálně pomalu měním názor... :-)

Nicméně k tématu - hrozí tedy nějaké riziko, pokud rootuju metodou od některého ověřeného autora (např. Chainfire)?

@phablet
:palec: Chceš-li poděkovat, klikni na palec :palec:

SERVIS MT => Unbrick | oprava IMEI a S/N | JTAG | unlock | flash ROM | atd. <= VÍCE PŘES SZ
Moje hračky: SM-N960F [Stock] | SM-N910C [Stock] | GT-N7100 [Stock+Root] | GT-N8000 [Stock+Root] | Sony SW2

Uživatelský avatar

Autor tohoto vlákna
pRo_lama
Moderátor
Příspěvky: 6424
Registrován: pon 06. pro 2010 7:41:23
Reputace: 326
Typ mobilu / ROM: Samsung Galaxy S8
Twitter: pRo_lama
Bydliště: Praha
Kontaktovat uživatele:

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od pRo_lama » ned 19. led 2014 0:07:18

Ak som to správne pochopil, tak ak sa daný bootkit nachádza v boot.img a tento boot.img sa rozšíri medzi ľudí, tak to bude veľmi zaujímavé. Lebo nemáš ako zistiť či sa v danom boot.img (napr. v podstrčenej stock ROM alebo custom ROM) nachádza bootkit alebo nie. Zistíš to asi iba cez app, ktorú tam oni uvádzajú. Nie som na to expert, tak neviem.
MOBIL: Samsung Galaxy S8 (64 GB) | TABLET: Nexus 7 (2013)
GADGET: Samsung Gear S2 (SM-R720) + Samsung Gear Fit (SM-R350) + Sony SmartWatch 2


Bohooc
Stálý androiďák
Příspěvky: 174
Registrován: pon 22. dub 2013 15:40:28
Reputace: 0
Typ mobilu / ROM: Samsung galaxy S3

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od Bohooc » ned 19. led 2014 0:10:48

Moc zaujimave,tych japonsko-činskych rootovacich programov je viac shaume,Eroot .atd

Shaume je docela sikovny nastroj :mrgreen:

Uživatelský avatar

don_alex
Administrátor
Příspěvky: 9915
Registrován: ned 26. srp 2012 16:11:34
Reputace: 374
Typ mobilu / ROM: Samsung Galaxy Note 9, 512GB [SM-N960F] [Stock]
Mobil 2 / ROM: Samsung Galaxy Note 4 [SM-N910C] [Stock]
Tablet: Samsung Galaxy Note 10.1 [GT-N8000] [Stock+root]

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od don_alex » ned 19. led 2014 13:50:32

Takže ve finále může být custom rom víc nebezpečná než stock. :lol:

@phablet
:palec: Chceš-li poděkovat, klikni na palec :palec:

SERVIS MT => Unbrick | oprava IMEI a S/N | JTAG | unlock | flash ROM | atd. <= VÍCE PŘES SZ
Moje hračky: SM-N960F [Stock] | SM-N910C [Stock] | GT-N7100 [Stock+Root] | GT-N8000 [Stock+Root] | Sony SW2

Uživatelský avatar

Autor tohoto vlákna
pRo_lama
Moderátor
Příspěvky: 6424
Registrován: pon 06. pro 2010 7:41:23
Reputace: 326
Typ mobilu / ROM: Samsung Galaxy S8
Twitter: pRo_lama
Bydliště: Praha
Kontaktovat uživatele:

Re: Oldboot - prvý bootkit pre Android ("vírus")

Příspěvek od pRo_lama » ned 19. led 2014 13:56:22

Flashnutie infikovaného boot.img bude nebezpečné. ;)
MOBIL: Samsung Galaxy S8 (64 GB) | TABLET: Nexus 7 (2013)
GADGET: Samsung Gear S2 (SM-R720) + Samsung Gear Fit (SM-R350) + Sony SmartWatch 2

Odpovědět

Zpět na „Pokec“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti