Fino ad oggi la maggior parte dei malware conosciuti finivano nei dispositivi animati dal sistema operativo del robottino verde Android attraverso l’installazione di applicazioni di terze parti che non vengono esaminate dal filtro presente sul Google Play Store.
Una società di sicurezza russa, però, adesso ha scoperto una nuova tipologia di trojan che risiede direttamente in memoria e viene eseguito all’avvio del sistema operativo, si tratterebbe del primo bootkit Android, il suo nome è Android.Oldboot e attualmente il malware è stato rilevato su oltre 350.000 dispositivi.
[divider]
Bootkit Android: dalla Cina con furore
Secondo le indagini effettuate dalla società di sicurezza russa, il bootkit Android infetta la partizione di boot del file system e modifica lo script init responsabile dell’inizializzazione dei vari componenti del sistema operativo.
Quindi quando l’utente avvia il proprio dispositivo, questo script carica il trojan imei_chk che estrae i file libgooglekernel.so e GoogleKernel.apk, copiandoli rispettivamente in /system/lib e /system/app.
Alcune parti del bootkit Android vengono installate come una normale applicazione che funge come servizio di sistema, usando la libreria libgooglekernel.so per connettersi ad un server remoto, dal quale riceve vari comandi, tra cui download, installazione e rimozione di alcune applicazioni.
L’appena scoperto bootkit Android è particolarmente pericoloso, in quanto il componente imei_chk risiede proprio nell’area di memoria protetta e questa reinstallerà il trojan ad ogni successivo riavvio, anche se alcuni elementi del malware Android.Oldboot fossero stati rimossi.
La diffusione del bootkit Android non avviene attraverso Internet, aprendo un allegato o installando un’applicazione, ma manualmente, è quindi probabile che il malware Android.Oldboot sia presente in alcuni firmware modificati, ovvero le tanto famose e altrettanto spesso utilizzate custom ROM.
Dagli studi effettuati dalla società russa pare che il 92 percento dei dispositivi compromessi si trovi in Cina, ma la diffusione del bootkit Android è stata rilevata anche in altri paesi, tra i quali l’Italia con una percentuale pari allo 0,6.
La società di sicurezza russa, quindi, mette tutti in allarme e consiglia di evitare l’installazione di firmware non ufficiali provenienti da sviluppatori non affidabili, ma sconsiglia anche l’acquisto di smartphone o tablet da rivenditori o marchi sconosciuti, come ad esempio la moltitudine di dispositivi made in China venduti su eBay.
[divider]
Come scoprire se il nostro dispositivo è infettato da Android.Oldboot
Per scoprire se il nostro smartphone o tablet è infettato dal bootkit Android, basta seguire questi semplici passi, che trovate illustrati anche nelle immagini a seguire:
- Scaricare un’applicazione di file manager dal Google Play Store, noi ad esempio abbiamo utilizzato File Manager Explorer che potete installare gratuitamente sul vostro dispositivo direttamente dall’Appbox che trovate a fine articolo.
- Aprire la cartella system e, a seguire, app. Se all’interno di quest’ultima c’è l’apk GoogleKernel.apk il malware è presente, altrimenti no.
- Aprire nuovamente la cartella system e, a seguire, lib. Se all’interno è presente il file libgooglekernel.so il dispositivo è infetto, nel caso contrario no.
Per fortuna, come potete vedere dagli screenshot illustrativi che seguono, lo smartphone con il quale abbiamo fatto la prova non è infettato, fateci sapere come stanno in salute i vostri dispositivi.
[divider]