La maggior parte delle malware finiscono sui dispositivi Android mediante l’installazione di app di terze parti che, quindi, non vengono esaminate dal filtro presente sul Google Play Store. Una società di sicurezza russa ha scoperto però una nuova tipologia di trojan che risiede in memoria e viene eseguito all’avvio del sistema operativo. Il suo nome è Android.Oldboot e può essere considerato il primo bootkit per Android. Attualmente il malware è stato rilevato su oltre 350.000 device.
Il bootkit infetta la partizione di boot del file system e modifica lo script init responsabile dell’inizializzazione dei componenti del sistema operativo. Quando l’utente avvia il proprio dispositivo, questo script carica il trojan imei_chk che estrae i file libgooglekernel.so e GoogleKernel.apk, copiandoli rispettivamente in /system/lib e /system/app. Alcune parti di Android.Oldboot sono installate come una normale app che funziona come servizio di sistema, usando la libreria libgooglekernel.so per connettersi ad un server remoto, da cui riceve vari comandi, tra cui download, installazione e rimozione di alcune applicazioni.
Il malware è particolarmente pericoloso, in quanto il componente imei_chk risiede nell’area di memoria protetta e reinstallerà il trojan al successivo riavvio, anche se alcuni elementi di Android.Oldboot sono stati rimossi. L’infezione non si diffonde tramite Internet, aprendo un allegato o installando un’applicazione, ma viene distribuita manualmente. È probabile che il malware sia presente in alcuni firmware modificati (le famose ROM custom).
Fortunatamente, il 92% dei device compromessi si trova in Cina, ma l’infezione è stata rilevata anche in altri paesi, tra cui l’Italia (0,6%). È consigliabile evitare l’installazione di firmware provenienti da fonti non affidabili e l’acquisto di smartphone o tablet da rivenditori sconosciuti (molti utenti, ad esempio, sono attirati dai dispositivi cinesi venduti su eBay).