Android.Oldboot, il malware che minaccia Android

Android.Oldboot, il malware che minaccia Android

Sembra essere stato progettato per reinfettare i device anche dopo una pulizia approfondita. A scoprirlo i ricercatori di sicurezza del sistema antivirus Dr Web
Android.Oldboot, il malware che minaccia Android FASTWEB S.p.A.

Una nuovo malware attenta alla sicurezza di Android. Il suo nome è Android.Oldboot,  e sembra essere stato progettato per reinfettare i device anche dopo una pulizia approfondita. A scoprirlo i ricercatori di sicurezza del sistema antivirus Dr Web. Android.Oldboot  è un kernel-mode rootkit, ovvero un malware che può infettare il codice di avvio in modo di attaccare anche sistemi completi di cifratura del disco rendendone difficile l’eliminazione.

Il malware è stato rilevato in più di 350.000 dispositivi mobili in tutto il mondo, tra cui Spagna, Italia, Germania, Russia, Brasilie, Stati Uniti ed alcuni paesi del Sud Est asiatico. Tuttavia, il 92% circa dei dispositivi infettati risulta essere situato in Cina.

A quanto risulta dalle ricerche effettuate, tale malware non sembra diffondersi, come nella maggior parte dei casi precedenti, tramite la semplice navigazione nel web, apertura di file allegati o l’installazione di app sospette. Sembrerebbe essere già installato nel dispositivo o installato manualmente da qualcuno con accesso fisico ad un telefono Android o tablet, il che lascia presupporre che un firmware modificato possa essere il vettore dell’infezione.

Come si installa il malware?

I creatori di Android.Oldboot hanno utilizzato una tecnica molto particolare: hanno inserito una componente del trojan all’interno della partizione di avvio del file system e modificando lo script di “init”, ovvero quello che è responsabile delle inizializzazioni delle componenti del sistema operativo. Quando il device viene acceso, lo script “init” modificato provvede all’estrazione di file malevoli che vanno ad annidarsi all’interno del sistema operativo.  In questo modo, una parte del malware risulta essere installata come una tipica applicazione riconosciuta come un servizio di sistema ed utilizza la libreria “libgooglekernel.so” per connettersi ad un server remoto dal quale può ricevere vari comandi, quali download, installazione e rimozione di alcune applicazioni.

C’è pericolo quindi di essere infettati? Sembra proprio che il rischio di contrarre questo malware sia altamente improbabile a meno che non si acquisti un prodotto di dubbia provenienza di manifattura Cinese oppure che si installino firmware modificati sul proprio device. D’altro canto la rilevazione di questo malware crea un precedente pericoloso nella storia dei malware Android, in quanto la rimozione risulta essere molto difficile.

29 gennaio 2014

source:ddelvecchio
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail