Vírus que infecta mais de 350 mil dispositivos vêm de fábrica
Conteúdo Continua após Anúncios
A empresa de segurança Doctor Web comprova mais uma vez que escolher um smartphone fabricado por empresas chinesas suspeitas não é uma boa ideia. Um vírus identificado como Android.Olsboot.1, que vem instalado de fábrica neste tipo de gadget, é um programa malicioso que roda na fase inicial do carregamento do Sistema Operativo do aparelho e não pode ser removido completamente.
De acordo com a empresa, a ameaça é o primeiro bootkit para Android. Isso significa que é uma variante do rootkit em modo kernel que pode infectar o código de inicialização do aparelho, a fim de atacar até mesmo os sistemas de criptografia de disco. Assim, pelo menos um de seus componentes continuará sempre instalado na área de memória protegida do smartphone ou tablet e conseguirá reinstalar o malware completamente, o que diminui para zero as hipoteses de apagá-lo do sitema do dispositivo.
Como o trojan actua?
O curioso é que o malware não se espalha por irresponsabilidade dos utilizadores que navegam na Web e/ou abram anexos suspeitos ou mesmo por transferência de aplicações e ficheiros maliciosos de terceiros. O trojan em questão sai da fábrica, ou seja, é preciso que alguém implante o vírus manualmente no dispositivo. Tal como eu já tinha desconfiado e escrito no artigo de ontem.
Segundo a explicação do Doctor Web, o dispositivo é infectado primeiro com a adição dos componentes do trojan na partição de inicialização do sistema de ficheiros e modifica o script de inicialização responsável pelo boot dos componentes do sistema operativo. Quando o dispositivo é ligado, o script modificado carrega o código responsável pela biblioteca do Linux imei_chk do trojan, que extrai os ficheiros libgooglekernel.so e GoogleKernel.apk, colocando-os em /system/libe /system/app, respectivamente.
Conteúdo Continua após Anúncios
Assim, parte do trojan Android.Oldboot é instalado como uma aplicação típica do Android que ainda funciona como um serviço do sistema e usa a biblioteca libgooglekernel.so para se ligar a um servidor remoto e receber vários comandos, principalmente para fazer download, instalar ou remover certas aplicações.
Então eu preciso de me preocupar?
Sim e não! Se você comprou um produto duvidoso de um fabricante chinesa, como por exemplo um Galaxy S3 falso, aí sim, você precisa se preocupar, pois existem grandes possibilidades do dispositivo estar infectado com o malware Android.Oldboot.1. Agora, se você possui um aparelho de um fabricante conceituado, então não te precisas de preocupar, pois a empresa certamente não terá um “agente do mal” infiltrado com o intuito de adicionar tal vírus aos gadgets.
O malware já foi detectado em mais de 350 mil dispositivos móveis em todo o mundo, incluindo Espanha, Itália, Alemanha, Rússia, EUA, alguns países do Sudeste Asiático e o Brasil. Porém, a grande maioria destes dispositivos comprometidos estão na China:
É claro que não podemos fechar os olhos para o mercado de dispositivos genéricos ou falsificados, afinal de contas, são dispositivos bem mais em conta, e muitas vezes com boas caractristicas. O que a Doctor Web mostra com esta denúncia é que este tipo de trojan cria um precedente perigoso de malware no OS Android que é muito difícil de ser removido, para não dizer praticamente impossível. Por isso, é sempre bom ficar de olho na segurança do sistema operativo, utilizar um antivírus que possa identificar ficheiros e aplicações maliciosos e, acima de tudo, verificar sempre a credibilidade das suas fontes. Eu nem sou a favor dos antivirus no sistema Android, mas para quem possua dispositivos que possam ter este mesmo problema, não me parece ser má ideia, começar a pensar em usa-los.
Fonte: The Next Web & Doctor Web
Conteúdo Continua após Anúncios