Empresa de segurança encontra primeiro bootkit em Android

Author Photo
11:19 am - 05 de abril de 2012

Pesquisadores da NQ Mobile descobriram o que dizem ser o primeiro bootkit (que garante o controle remoto ao invasor) para a plataforma móvel do Google, o Android. Chamado de DKFBootKit, o malware foi visto em lojas de aplicativos terceiras e teve origem na China.

A China é um berço comum para ameaças em mobilidade, já que 31% das descobertas são originados no país, apontou Xuxian Jiang, cientista-chefe da NQ Mobile. Nas duas últimas semanas, o bootkit infectou mais de 1,6 mil dispositivos Android.

?O DKFBootKit é capaz de roubar informações pessoais dos usuários?, disse Jiang. ?O mais alarmante é que ele é um bot client que consegue recuperar e executar comandos de um servidor C&C (comando e controle) remoto.?

De acordo com a empresa, a ameaça reempacota aplicativos legítimos para colocar suas cargas nocivas. Os escolhidos geralmente são apps de utilidade que requerem privilégios de root para funcionar corretamente, como aplicações que disponibilizam chaves de licença para algumas apps premium.

“Com base em nosso estudo, o DKFBootKit acrescenta um serviço de fundo comum para aplicativos vítima, que quando é utilizado irá lançar um programa executável oculto”, notou a NQ Mobile em um comunicado sobre o malware. “Esse programa oculto irá verificar se tem o privilégio raiz. Se não, ele se autoencerra. Caso contrário, ele cria regras na divisória do sistema como gravável, se copia para a plataforma/lib, substitui vários programas utilitários de uso comum (como o ifconfig), e altera as daemons relacionadas (por exemplo,vold e debuggerd), além dos bootstrap relacionados com scripts.”

O objetivo parece ser permitir que a ameaça rode antes que o framework do Android seja inicializado para rodar outros aplicativos. ?Pela utilização da raiz privilegiada, ele pode executar comandos arbitrários?, explicou a empresa de pesquisas. ?Nós ainda estamos no processo de monitoramento ativo dos servidores C&C do DKFBootKit. Uma investigação inicial desses servidores mostra que os domínios relacionados foram registrados em janeiro de 2012.?

A NQ Mobile aconselha os usuários do Android a evitar o donwload de aplicativos de fontes não confiáveis e ficar alerta a comportamentos incomuns. ?Dada a complexidade da natureza do malware, esperamos ver mais ataques ao redor do mundo?, afirmou Jiang.

Saiba mais:

Sistema Android tem nova ameaça
Conheça os oito ataques ao Android mais famosos

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.