Los investigadores descubren el primer bootkit de Android; 350.000 dispositivos ya han sido infectados

Los investigadores de seguridad de Doctor Web han descubierto lo que parece ser el primer bootkit de Android. La amenaza ya ha infectado unos 350.000 dispositivos de todo el mundo.

Researchers-Discover-First-Android-Bootkit-350-000-Devices-Already-Infected-421383-2

El troyano, apodado Android.Oldboot.1.origin, utiliza algunas técnicas inteligentes para asegurarse de que no pueda ser eliminado fácilmente. Uno de los componentes está instalado en la partición de arranque del sistema de archivos.

El archivo de la unidad es modificado de forma que cuando se inicie el dispositivo, una secuencia de comandos sea cargada y los componentes de Android.Oldboot se instalen como una aplicación típica. Una vez instalada en un dispositivo, la amenaza se conecta a un servidor remoto y espera órdenes.

“Cuando el teléfono esté activado, este script carga el código del troyano Linux-library imei_chk (el antivirus de Dr.Web lo detecta como Android.Oldboot.1), que extrae los archivos libgooglekernel.so (Android.Oldboot.2) y GoogleKernel.apk (Android.Oldboot.1.origin) y los coloca en /system/lib y /system/app, respectivamente”, explicaron los expertos de Dr. Web.

“Por lo tanto, una parte del troyano Android.Oldboot se instala como una aplicación típica que luego funciona como un servicio del sistema y utiliza la biblioteca libgooglekernel.so para conectarse a un servidor remoto y recibir varios comandos, como descargar, instalar o desinstalar ciertas aplicaciones”.

El problema es que incluso si es eliminado, al reiniciar el dispositivo, el troyano vuelve a instalarse debido al componente que reside en el área de memoria protegida.

Los expertos creen que el malware se distribuye con la ayuda de firmware modificado. Cuando los usuarios reflashean sus smartphones e instalan este firmware, en realidad están infectando sus teléfonos con el troyano.

La mayoría de las infecciones (92%) han sido vistas en China, que parece ser el principal objetivo. Sin embargo, también se han detectado dispositivos infectados en Alemania, España, Rusia, Italia, Estados Unidos, Brasil y otros países del sudeste asiático.

La mejor manera de proteger tu smartphone contra esta pieza de malware es evitar instalar firmware descargado de fuentes no confiables. Los expertos también recomiendan no comprar dispositivos de origen desconocido.

Fuente