De eerste bootkit voor Android heeft 350.000 smartphones geïnfecteerd, zo beweert het Russische anti-virusbedrijf Dr. Web. Het Chinese anti-virusbedrijf Qihoo kwam onlangs met een getal van 500.000. Hoewel de Russen minder infecties tellen, is duidelijk dat het om een grootschalige uitbraak gaat.

De meeste besmettingen bevinden zich in China (92%), maar ook in Spanje en Italië zijn duizenden besmette toestellen ontdekt. Een bootkit is een rootkit die vanaf boot-sectors geladen wordt en tot het opstarten van het besturingssysteem in het geheugen blijft zitten. Zodra de telefoon wordt aangezet wordt er een script geladen dat uiteindelijk een kwaadaardige app installeert.

De gebruiker kan de app wel verwijderen, maar zodra de telefoon wordt herstart wordt de app opnieuw geïnstalleerd. Eenmaal actief kan de malware bepaalde applicaties downloaden en installeren of verwijderen. Ook zijn er aanwijzingen in de code gevonden dat de auteur van plan was om de malware sms-berichten naar bepaalde nummers te laten zenden, maar deze functionaliteit is nooit helemaal uitgewerkt.

Verspreiding

Hoe de malware zich precies verspreidt is onduidelijk. Zowel Qihoo als Dr. Web zijn daar in hun beperkte analyses niet duidelijk in. In het geval van Qihoo werd een besmet toestel ontdekt dat in een Chinees winkelcentrum was gekocht. Verschillende winkels zouden de smartphone van een nieuw besturingssysteem voorzien en daarbij de malware introduceren.

Ook Dr. Web stelt dat het flashen van de smartphones met aangepaste firmware waarschijnlijk de manier is waarop de malware zich verspreidt. De virusbestrijder adviseert consumenten dan ook om geen apparaten van onbetrouwbare partijen te kopen en ROMs van onbetrouwbare bronnen te vermijden. Een Android-ROM is een aangepaste versie van het Android-besturingssysteem die eigenaren van een geroote smartphone kunnen installeren.