Avançar para o conteúdo principal

Primeiro bootkit para Android descoberto!

Os vírus e os boots para Android já existem há algum tempo, mas agora, pela primeira vez, foi descoberto um bootkit.
Este trojan está já presente em mais de 350 mil dispositivos em muitos países do mundo, mas a forma de transmissão é ainda dependente de acesso físico ao equipamento.
android_bootkit_1



Um bootkit é, para os que não conhecem, um vírus ou trojan que se aloja no arranque do sistema operativo e que é executado nas primeiras fases de lançamento do SO. Desta forma torna-se muito difícil de controlar e eliminar, tendo inclusive a capacidade de se regenerar caso seja eliminado ou parado.
É precisamente este o comportamento do “Android.Oldboot.1”. Este trojan, detectado pela empresa Russa de segurança Dr Web, e estima-se que esteja já a afectar mais de 350 mil equipamentos no mundo.
A forma de infecção do Android.Oldboot faz-se através da colocação de um componente do trojan na partição de boot do sistema de ficheiros do Android e modificando os scripts de arranque do SO.
Quando o telefone é ligado, este script carrega o código malicioso da biblioteca Linux imei_chk, que extrai os ficheiros libgooglekernel.so (Android.Oldboot.2) e GoogleKernel.apk (Android.Oldboot.1.origin), colocando-o respectivamente em /system/lib e /system/app.
Ainda assim, parte do trojan Android.Oldboot é instalado como uma normal aplicação, que se liga a um servidor remoto para receber comandos, tendo a capacidade de instalar ou remover outras aplicações.
Uma das formas mais simples de ser infectado é através da aplicação de uma ROM com estes componentes pré instalados na zona de arranque do Android.
android_bootkit_2
Este problema é realmente grande, uma vez que mesmo limpando o Android e removendo o Trojan, o Android.Oldboot volta a ser instalado uma vez que está presente no sistema de ficheiros, sendo reinstalado no arranque do telefone.
De acordo com os dados disponibilizados pelo Dr Web, o Android.Oldboot está espalhado já por vários países, nos mais de 350 mil equipamentos infectados.
Um dado curioso é que mais de 90% dos equipamentos identificados como estando infectados estão num único país. Este país é a China. Não é de todo estranho este facto, uma vez que o Android.Oldboot é um vírus direccionado aos utilizadores Chineses.
android_bootkit_3
Para além da China, o Android.Oldboot está presente já em muitos outros países. Estes países são a Espanha, Itália, Alemanha, Rússia, Brasil, Estados Unidos e alguns países do Sudoeste Asiático.
No mapa abaixo podem ver a distribuição do Android.Oldboot pelo planeta.
android_bootkit_4
Apesar deste perigo, não se devem preocupar para já com os vossos dispositivos. Este trojan não se propaga com a visita a uma página web ou com a recepção de ficheiros infectados.
As suas fontes de infecção estão bem identificadas. Ou vêm directamente do fabricante já com o Android.Oldboot presente e pronto a ser infectado ou este é colocado no telefone através da utilização de uma ROM infectada e com os componentes necessários presentes.
É no entanto preocupante a capacidade deste trojan de infectar de uma forma tão permanente um dispositivo Android. É o primeiro deste género a atingir o Android e tem uma capacidade de se tornar permanente nos dispositivos onde entra.

Comentários

Mensagens populares deste blogue

Ubuntu 13.10 Saucy Salamander virá com o MIR

Durante o dia de hoje, o mundo Linux assistiu ao anuncio de duas informações antagónicas: Por um lado Jonathan Riddell,  do projecto  Kubuntu,   referiu que o Mir/XMir não será (ainda) integrado na sua distribuição  ;  Relativamente ao projecto Ubuntu, a informação é que o Ubuntu 13.10 Saucy Salamander virá com o MIR. Tal como anunciado  o Ubuntu 13.10 Saucy Salamander virá com o MIR, um novo servidor gráfico, desenvolvido pela Canonical, desenhado para ser rápido, eficiente e transversal a várias versões do Ubuntu (ex. Ubuntu para smartphones/ tablets, desktops, TV, etc). O Mir será o  substituto do X-Window e X.org  e oferecerá uma nova experiência aos utilizadores (de referir que a não adopção do  Wayland   – projecto idêntico desenvolvido por um grupo de programadores da Redhat, se deveu a incompatibilidades com os objectivos traçados pela Canonical). Como objectivo traçado, a equipa de desenvolvimento pretende...

Llama Mountain: A board mais pequena do mundo é da Intel

A miniaturização dos componentes que constituem os nossos computadores tem estado a atingir níveis microscópicos. Ao criarem estes componentes passa a ser possível incluí-los em chassis ainda mais pequenos ou permite ganhar espaço para a colocação de outros elementos de maiores dimensões. A Intel apresentou hoje um protótipo, de nome Llama Mountain, que revela uma motherboard completa, mas de dimensões extremamente pequenas. Esta tecnologia vai estar disponível para qualquer OEM criar dispositivos, completos, ainda mais pequenos ou com outras características únicas. O Llama Mountain foi apresentado pela Intel na Computex um tablet único, a correr Windows 8.1 Pro, que é suportado por uma motherboard de dimensões reduzidas e que permite que exista espaço para a colocação de duas baterias. Estas duas baterias, de dimensões generosas, garantem a este tablet de 12.5 polegadas uma autonomia de 32 horas. Também como resultado da utilização desta motherboard, o tablet que fo...

Avira PC Cleaner, do alerta para a segurança

As ferramentas que nos podem ajudar a detectar uma eventual infecção no nosso sistema são sempre uma mais-valia. Mas tornam-se ainda mais úteis quando chegam pela mão das grandes marcas de software com tradição em soluções de segurança, como é o caso da  Avira . Assim, a marca alemã disponibilizou o seu Avira PC Cleaner que pode ser descrito como uma ferramenta individual de pesquisa para vírus que funcional de forma independente, em espécie de «auditor» quer tenhamos ou não outras ferramentas de segurança instaladas. Vamos conhecer? O primeiro programa é bastante leve, rondando pouco mais de 2 MB de download sem necessidade de instalação. Uma vez descarregado basta correr o programa para que, de forma automática ele descarregue via INternet a «segunda parte» dele mesmo. Penso que começamos bem por aqui, pois este procedimento reduz, em certa forma, a possibilidade de eventuais conflitos com outras ferramentas de segurança que possamos ter instaladas. Uma vez d...