Primer Bootkit en Android infectó 350.000 dispositivos, la mayoría de ellos en China

Primer Bootkit en Android infectó 350.000 dispositivos, la mayoría de ellos en China

Android.Oldboot se aloja en la memoria interna de dispositivos Android y se ejecuta automáticamente cuando se carga el sistema operativo, actuando como un verdadero bootkit.

Un nuevo troyano para el famoso sistema operativo Android ha sido descubierto y ya ha infectado a más de 350.000 dispositivos casi a nivel mundial.

Según lo reportado por la empresa de seguridad, Dr. Web, sería el primer bootkit que se ha detectado en el sistema operativo móvil de Google y que se ha propagado rápidamente, centrándose en China donde más móviles ha infectado.

 

Este troyano se llama Android.Oldboot y se aloja en la memoria interna de los dispositivos con Android y se ejecuta automáticamente cuando se carga el sistema operativo, actuando como un verdadero bootkit, lo que hace mucho más difícil la eliminación.

Según lo que describe la empresa Dr. Web en su blog, los dispositivos Android son infectados con este troyano cuando uno de sus componentes llamado Android.Oldboot.1 es instalado en la partición de booteo y modificando el script de inicio que hace posible el inicio de los archivos del sistema operativo. De esta manera cuando el equipo se inicia, el script modificado carga el código malicioso que será responsable de extraer dos archivos llamados libgooglekernel.so y GoogleKernel.apk, los cuales son instalados en el directorio /system/app.

Así el troyano actúa dentro del sistema operativo con total normalidad y utiliza el archivo libgooglekernel.so para poder conectarse a un servidor remoto y recibir comandos que pueden descargar, instalar o incluso eliminar aplicaciones de los dispositivos Android. Ahora, el gran problema es que no puedes eliminar este troyano, ya que si eliminas manualmente el archivo, automáticamente se restaura desde la partición protegida la próxima vez que se reinicie el sistema operativo.

Dr. Web afirma que uno puede resultar infectado instalando ROM’s modificadas por terceros donde iría alojado el troyano. Así que máxima precaución al momento de comprar un equipo de un origen desconocido o instalar ROM’s cocinadas que vengan de fuentes no confiables.

Link: TheNextWeb