Sicurezza

350.000 dispositivi Android già infettati dal primo bootkit

Meno esperto è l'utente, più è facile che prenda un virus. Ma cosa accade in un mercato dove gli utenti pensano di avere per le mani un semplice telefono evoluto e non hanno idea di quali siano le sue reali capacità? Succede che il malware si diffonde a macchia d'olio.

Capita, così, che il primo malware bootkit per Android sia scoperto quando ormai ha infettato quasi mezzo milione di dispositivi. La nuova minaccia, conosciuta con il nome di Android.Oldboot.1, è stata scoperta dai ricercatori di Doctor Web, una società russa specializzata in sicurezza informatica.

Forse non è chiarissimo, ma qui si vedono in azione le componenti sfruttate dal trojan in azione.

La sua particolarità è che risulta molto complesso da eradicare perché anche se si disinstanno tutte le componenti residenti in memoria, una parte di codice resta annidata da qualche parte nei file del sistema operativo e al riavvio del dispositivo si occupa di ristabilire l'infezione.

Del resto, i bootkit sono nati proprio con questo scopo: infettare i dispositivi attaccando i file che si occupano dell'avvio del sistema operativo, rendendo impossibile rimuovere l'infezione senza andare a sovrascrivere un certo numero di file di sistema, cosa impossibile da fare con cognizione di causa per qualsiasi utente medio.

Android.Oldboot.1 è già stato identificato in un bel po' di Paesi in giro per il mondo: Germania, Spagna, Malesia, Vietnam, Russia, Italia, Brasile, Usa, Tailandia e altri, ma la stragrande maggioranza delle infezioni, il 92% del totale, è in Cina.

Solo pochi dispositivi sono stati infettati fuori dalla grande muraglia.

Questa abnorme prevalenza di infezioni in un unico Paese rende evidentente che il malware non si diffonde via web o tramite altri sistemi elettronici quanto tramite attacchi molto mirati o, più probabilmente considerato il numero di infezioni, attraverso l'inserimento intenzionale del software malevolo su larga scala da parte di qualcuno che ha accesso ai dispositivi stessi.

L'infezione, infatti, parte tramite l'installazione nella partizione d'avvio del dispositivo di un componente del trojan. Quando il dispositivo si riavvia, il trojan si collega alla rete e scarica un altro malware (Oldboot) che poi sfrutta la libreria libgooglekernel.so per ricevere istruzioni  da un server esterno.

La buona notiza è che a quanto pare la maggior parte delle infezioni sono avvenute a livello di "fabbrica" su di un produttore cinese di prodotti non di marca. Se quindi non avete preso direttamente dall'estero uno di questi smartphone o tablet "cloni", è improbabile che siate state contagiati.