ALERTAS | Noticias | 28 ENE 2014

Un troyano para Android infecta más de 350.000 dispositivos, el 2% en España

Android.Oldboot es un malware que reside en la memoria del dispositivo infectado y aparece en la fase de carga del sistema operativo Android, actuando como un bootkit. Unos 7.600 dispositivos se han visto afectados en España, según Doctor Web.
smartphone malware movil
Hilda Gómez

La compañía rusa Doctor Web está advirtiendo a los usuarios sobre un peligroso troyano para Android, conocido como Android.Oldboot, que afecta ya a más de 350.000 dispositivos móviles en varios países, entre ellos España, Italia, Alemania, Rusia, Brasil, Estados Unidos y algunos países del sudeste asiático. Según Doctor Web, el malware reside en la memoria del dispositivo infectado y aparece en la fase de carga del sistema operativo, actuando como un bootkit, lo que reduce al mínimo la posibilidad de que sea eliminado sin alterar el sistema de archivos del dispositivo.

 

Para difundir el troyano, los atacantes han utilizado una técnica muy poco común, consistente en la colocación de uno de los componentes del troyano dentro de la partición de arranque del sistema de archivos, modificando la secuencia de comandos que es responsable de la inicialización de los componentes del sistema operativo. Cuando el teléfono móvil es encendido, este script carga el código del troyano Linux-library imei_chk (detectado como Android.Oldboot.1), que extrae los archivos libgooglekernel.so (Android.Oldboot.2) y GoogleKernel.apk (Android.Oldboot.1.origin) y los coloca en /system/lib y /system/app, respectivamente. De este modo, parte del troyano Android.Oldboot se instala como una aplicación típica, que además funciona como un servicio del sistema y utiliza la biblioteca libgooglekernel.so para conectarse a un servidor remoto y recibir varios comandos, en particular, para descargar, instalar o eliminar ciertas aplicaciones. Reflashear un dispositivo con firmware modificado que contiene las rutinas necesarias para el funcionamiento del troyano es la forma más probable en que se introduce esta amenaza.

 

Doctor Web alerta que este malware es particularmente peligroso porque, incluso si algunos elementos de Android.Oldboot que se han instalado en el dispositivo móvil después de su encendido se eliminan con éxito, el componente imei_chk seguirá residiendo en el área de memoria protegida y volverá a instalar el malware después de reiniciar el sistema.

 

De acuerdo con información obtenida por los analistas de Doctor Web, la mayoría de los dispositivos comprometidos (el 92%) se encuentran en China, lo cual no es sorprendente, ya que el troyano Android.Oldboot está pensado para dispositivos Android en China. El segundo país más afectado en España, con un 2,1% de dispositivos infectados.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información