Appena due mesi fa, si parlava del primo di malware diffuso Android Bootkit, definito come ‘Oldboot.A’, che ha infettato più di 500.000 utenti smartphone in tutto il mondo con il sistema operativo Android negli ultimi otto mesi, soprattutto in Cina.
Oldboot è un pezzo di malware Android che è progettato per re-infettare dispositivi mobili anche dopo una pulizia approfondita. Risiede nella memoria di dispositivi; Modifica il file delle partizioni e script di boot di avvio dei dispositivi per il lancio dei servizi di sistema ed estrae un’applicazione dannosa durante la fase iniziale di boot.

Ancora un altro rapporto allarmante sulla oldboot malware è stato rilasciato dal ‘360 Mobile Security ‘. Hanno scoperto una nuova variante della famiglia oldboot, definito come ‘Oldboot.B’, concepito esattamente come Oldboot.A, ma questo utilizza tecniche  avanzate di stealth. In particolare, la difesa contro con il software antivirus, analizzatore di malware e strumenti di analisi automatici. “La famiglia oldboot Trojan è la più significativa dimostrazione di questa tendenza.” hanno detto i ricercatori.

Oldboot.B, il malware Android Bootkit ha le seguenti abilità:

  • Installazione silenziosa
  • Moduli maligni nel processo di sistema.
  • Non si può disinstallare
  • Oldboot.B  modifica la homepage.
  • Ha la capacità di disinstallare o disattivare software antivirus installati.

 

ARCHITETTURA DEL MALWARE 

L’Architettura  di Oldboot.B comprende quattro componenti principali, esegue automaticamente durante l’avvio del sistema da solo la registrazione come servizio nello script init.rc:

oldboot-android-malware

 

1) boot_tst – utilizza la tecnica di injection remota sui file del SO eJAR al ” system_server” processo di Android, restando continuamente in ascolt ed esegue i comandi inviati.

oldboot-android-malware (1)

 

2) adb_server – Sostituisce lo script PM di Android, con il suo e lo usa per evitare la disinstallazione

oldboot-android-malware (4)

 

3) meta_chk – Aggiorna il file di configurazione, scaricare e installa l’applicazioe Android in background. Il file di configurazione è crittografato, che aumenta notevolmente il tempo necessario per analizzarlo.

oldboot-android-malware (5)

 

4) agentsysline – Il modulo scritto in linguaggio C + +  , eseguito come un demone in background per ricevere comandi dal server di comando e controllo. Questo componente può disinstallare il software anti-virus, eliminare i file specifici e attivare o disattivare la connessione di rete, ecc

oldboot-android-malware (6)