São Paulo - Especialistas da companhia de segurança Dr. Web, na Rússia, descobriram um novo e perigoso malware que já afeta 350 mil smartphones e tablets com Android pelo mundo. A ameaça vem em versões modificadas do sistema operacional, "reside" na memória dos aparelhos infectados e é iniciada "automaticamente quando o SO está carregando, agindo como um bootkit".

A tática, de acordo com a empresa, faz com que o vírus, chamado de Android.Oldboot, diminua as chances de ser removido. Dos cerca de 350 mil dispositivos infectados no mundo, mais de 90% está na China. O restante se divide em países como Brasil, Espanha, EUA, Itália, entre outros.

O malware entra nos aparelhos por meio de versões modificadas do Android, instaladas com relativa frequência por usuários do SO. Os especialistas da Dr. Web relatam que os criadores da ameaça colocam os componentes do Oldboot "na partição do boot do sistema operacional, modificando o script de inicialização".

Dessa forma, assim que o telefone é ligado, uma biblioteca do Trojan é carregada e arquivos são extraídos e posicionados dentro dos caminhos "/system/lib" e "/system/app" - o que mostra que parte do malware funciona até como um aplicativo normal ou um processo do sistema. Esse serviço faz com que o aparelho se conecte a um servidor remoto para "receber comandos variados, como baixar, instalar e remover certas aplicações".

A primeira biblioteca do Trojan carregada, aliás, restaura elementos do malware que foram eventualmente removidos por antivírus, por exemplo - ou seja, o Oldboot é quase "eterno", de certa forma. Por isso, como alerta o especialista em segurança Graham Cluley, vale ter cuidado na hora de fazer o root nos aparelhos com Android e de testar versões modificadas do SO.