En el último trimestre de 2013, la venta de un Smartphone con el sistema operativo ANDROID, se ha incrementado. pero parce ser que la gente no se conciencia de la falta de seguridad de este sistema. hoy Una firma de seguridad rusa " Doctor Web » a identificado el 1º ataque de malware distribuido con el bootkit para Android llamado ' Android.Oldboot ', una pieza de malware que está diseñada para volver a infectar los dispositivos al iniciar el sistema, incluso si elimina todos los componentes de trabajo de esta.
El bootkit Android.Oldboot ha infectado a más de 350.000 usuarios de Android en China, España, Italia, Alemania, Rusia, Brasil, EE.UU. y algunos países del sudeste asiático. China parece una víctima en masa (la mas extendida) de este tipo de software malicioso que tiene una participación de 92%.
Este Bootkit es una variante del malware rootkit, que infecta el dispositivo en el arranque y puede cifrar el disco o robar datos, eliminar la aplicación, la conexión abierta para el Comando y el controlador.
Realmente usa una tecnica muy peculiar la que utiliza para inyectar este troyano en un sistema Android, donde un atacante coloca un componente de la misma en la partición de arranque del sistema de archivos y modificar la secuencia de comandos "init" ( inicializar el sistema operativo ) para volver a cargar el software malicioso cada vez que se enciende el dispositivo.
Al iniciar el dispositivo, este script ejecuta la carga de 'el troyano imei_chk '(detecta como Android.Oldboot.1) que extraen dos archivos libgooglekernel.so (Android.Oldboot.2) yGoogleKernel.apk (Android.Oldboot.1.origin), copiarlos, respectivamente, en / system / lib y / system / app .
El Android.Oldboot actúa como un servicio del sistema y se conecta con el servidor de comando-y-control usandola biblioteca libgooglekernel.so y recibe órdenes para descargar, eliminar las aplicaciones instaladas, e instalar en su lugar las aplicaciones maliciosas.
Y claro, esta, se convierte en una parte de la partición de arranque, por lo qué el formatear el dispositivo no va a resolver el problema.
Los investigadores creen que los dispositivos tenían de alguna manera el malware pre-cargado en el momento del envío por parte del fabricante o qué pudiera distribuirse dentro de un firmware de Android modificado. Así, que los usuarios deben tener cuidado con ciertos tipos de firmware de Android modificado, que pueden traer este malware camuflado.
Hace dos semanas, algunos investigadores de seguridad chinas también han detectadoque un bootkit llamado ' oldboot ', posiblemente el mismo malware o una variante de la misma se esta ejecutando.
" Debido a la particularidad del disco RAM de la partición de arranque de los dispositivos Android ', todos los productos de antivirus móviles actuales en el mundo no pueden eliminar completamente este troyano ni pueden reparar el sistema. "
" Según nuestras estadísticas, a día de hoy, hay más de 500, 000 dispositivos Android infectados por este bootkit en China desde los últimos seis meses.
El Malware Android.Oldboot, es casi imposible de quitar, ni siquiera con el formateo de su dispositivo.
la Buena noticia es que si el dispositivo no es de un fabricante chino, entonces es probable que usted no sea una víctima de ella o por lo menos que tengas muy pocas posibilidades de que ocurra .
Este tipo de bootkit no es la primera vez que se detecta ya que tan solo Dos años atrás, en el mes de marzo informó, el Centro de Investigación NQ Mobile Security que descubrió el primer malware bootkit del mundo llamado 'DKFBootKit ', que sustituye a ciertos procesos de arranque y puede empezar a ejecutar incluso antes de que el sistema está completamente arrancado.
Pero Android.Oldboot malware es Bastante más peligroso, porque incluso si se quita todos los componente,sigue trabajando desde su android con éxito,ya que el componente imei_chk persistirá en un área de memoria de arranque protegido y, por tanto, volverá a instalarse a sí en el próximo arranque y continuamente infectara el Smartphone.
Se recomienda a los usuarios que se instalen aplicaciones en tiendas autorizadas como Google Play , que deshabiliten la instalación de aplicaciones de ' Desconocidos 'y por una mejor seguridad instalar una aplicación de seguridad de renombre. También puede tratar de volver a "flasear" el dispositivo con su ROM original. Después de reiniciar, se quitará definitibamente el bootkit.
fuente: www.doctorweb.com
.jpg)
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias