domingo, abril 06, 2014
Albert López
Hace unos días, apareció la noticia de la nueva versión del malware más sofisticado hasta la fecha para sistemas Android conocido como “OldBoot”, mejorado respecto su primera versión (Ver análisis en virustotal) ésta segunda versión es capaz de infectar de nuevo un sistema limpiado previamente por un antivirus.
Su principal fortaleza es que se copia en las distintas particiones de un dispositivo con Android, infectando el núcleo de arranque del sistema operativo para volver a infectarlo. En los primeros seis meses, la primera versión consiguió infectar solo en china más de medio millón de dispositivos con Android donde todavía no existe un antivirus que pueda eliminarlo completamente.
[Ver análisis Virustotal]
El malware, utiliza el nombre de un servicio de Google para evitar ser eliminado del sistema y tampoco puede ser eliminado de ninguna manera de forma manual. El malware se compone de 4 archivos que se copian en distintos directorios del sistema operativo y dispone de permisos para instalar o desinstalar aplicaciones de terceros, es capaz de desinstalar gran cantidad de antivirus de forma automática. Además la segunda versión puede modificar la página de inicio del navegador.
Aparte puede funcionar como un troyano, enviando y recibiendo ordenes de un atacante y detecta si el dispositivo dispone de una tarjeta SIM conectada, en caso de no ser así el malware deja de funcionar dificultando su análisis en diferentes entornos.
A continuación se puede encontrar varios enlaces interesantes sobre el tema:
- Documento técnico: http://training.nshc.net/ENG/Document/virus/20140129_Oldboot.pdf
- Herramienta de limipieza: http://blogs.360.cn/360mobile/2014/01/17/oldboot-the-first-bootkit-on-android/
- Blog de la primera emresa en descubrirlo: http://blogs.360.cn/
- Noticia en The Hacker News: http://thehackernews.com/2014/04/most-sophisticated-android-bootkit.html?m=1
Posted in: 
0 comentarios:
Publicar un comentario