Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Primo bootkit per Android ha compromesso 350.000 smartphone

24 gennaio 2014

Doctor Web — azienda russa per la sicurezza informatica, produttrice degli antivirus Dr.Web — avverte gli utenti del SO Android della comparsa di un trojan pericoloso. Il malware infetta la memoria flash incorporata del dispositivo mobile e funziona come bootkit avviandosi alla partenza del sistema operativo. Questa caratteristica del programma malevolo impedisce la sua rimozione se non viene modificata anche la struttura del file system. Al momento il trojan risulta attivo su oltre trecentocinquantamila dispositivi mobili che si trovano in più paesi: Brasile, Cina, Germania, Italia, Russia, Spagna, Stati Uniti e in altri paesi ancora.

Per diffondere il trojan, nominato Android.Oldboot.1.origin da Doctor Web, i malintenzionati hanno utilizzato un metodo particolare. Hanno collocato uno dei componenti del programma nel settore di avvio del file system e hanno modificato lo script responsabile della sequenza di attivazione dei componenti del SO. Quando il dispositivo infetto si accende, lo script alterato avvia la libreria Linux imei_chk (rilevata dall'Antivirus Dr.Web come Android.Oldboot.1 ), la quale estrae i file libgooglekernel.so (Android.Oldboot.2) e GoogleKernel.apk (Android.Oldboot.1.origin) e li mette rispettivamente nelle cartelle /system/lib e /system/app. Dunque, una parte del trojan Android.Oldboot si installa come una normale applicazione Android. In seguito funziona come un servizio di sistema e si connette a un server remoto con l'ausilio della libreria libgooglekernel.so per ricevere comandi, in particolare, i comandi di scaricare, installare o rimuovere determinate applicazioni. Presupponiamo che i malintenzionati installino sui dispositivi compromessi una versione manipolata di firmware che contiene le modifiche necessarie per il funzionamento del trojan. Questa sarà la via di penetrazione più probabile.

Il pericolo principale del trojan Android.Oldboot è che se i suoi elementi installati nel SO vengono eliminati, il componente imei_chk che si trova nella memoria flash incorporata, li reinstalla dopo una successiva accensione del dispositivo e reinfetta il SO.

Secondo le informazioni ottenute dagli analisti dei virus di Doctor Web, attualmente il malware è attivo su oltre trecentocinquantamila dispositivi mobili appartenenti agli utenti da diversi paesi, quali Spagna, Italia, Germania, Russia, Brasile, gli Stati Uniti e alcuni paesi dell'Asia Sudorientale. La maggioranza delle vittime si trova però in Cina (il 92%, vedi il diagramma sotto), il che non è sorprendente visto che il trojan Android.Oldboot è orientato in primo luogo agli utenti cinesi.

Quest'immagine mostra il numero di dispositivi infetti per paese.

Per tenervi al largo da questo trojan e da simili programmi malevoli, evitate di acquistare dispositivi Android di dubbia origine e non usate immagini del SO provenienti da sorgenti non attendibili.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A