Android.Oldboot è il primo bootkit per Android

Il mondo Android sta riscontrando sempre più successo ed il prezzo da pagare per questo successo è l’attenzione di molti hacker per sviluppare virus sempre più accaniti contro il robottino verde. Sebbene al momento la maggior parte delle malware finiscono sui dispositivi Android tramite l’installazione di app di terze parti che quindi non possono essere esaminate dai filtri presenti sul Play Store di Google.

E’ notizia di qualche giorno fa che una società di sicurezza Russa ha scovato una nuova tipologia di trojan che risiederebbe in memoria e viene eseguito all’avvio del sistema operativo. Il suo nome è Android.Oldboot e può essere considerato il primo bootkit per Android con una incidenza pari a oltre 350.000 device.

Il bootkit infetta la partizione di boot del file system e modifica lo script init responsabile dell’inizializzazione dei componenti del sistema operativo. Quindi quando l’utente avvia il proprio dispositivo lo script carica il trojan imei_chk in memoria copiando alcuni file nelle cartelle di sistema lib ed app.

Il malware è particolarmente pericoloso, in quanto risiede nell’area di memoria protetta e reinstallerà il trojan al successivo riavvio, anche se alcuni elementi di Android.Oldboot sono stati rimossi. L’infezione non si diffonde tramite Internet, aprendo un allegato o installando un’applicazione, ma viene distribuita manualmente. È probabile che il malware sia presente in alcuni firmware modificati.

La maggior parte, il 92 %, dei devices colpiti risiedono in Cina ma anche altri paesi, come in Italia, per fortuna solo lo 0,6 %, sono stati colpiti.

Insomma diffidate dall’installazione o dal flashare di Firmware scaricati da fonti sconosciute oppure non acquistate tablet provenienti da store molto dubbi come tutti quelli cinesi per non incappare in spiacevoli problemi di privacy.