Prima c'era CarrierIQ (2011) sull'HTC EVO 3D (e penso qualche altro in meno- dispositivi noti), che era un passo falso del venditore. Non è stato possibile disinstallarlo veramente: doveva esserci un aggiornamento della ROM.
Poi è arrivato il primo malware Android a livello di sistema, Droid Kungfu (2011). Kungfu sostituirà dhcpd e persino l'animazione di avvio. Non era esattamente un'app che potevi disinstallare.
Obad (2013) è stato probabilmente il primo bootkit Android. Tuttavia, era relativamente facile rimuovere rispetto a quello che verrebbe.
Uno dei più brutti bootkits Android era Mouabad (2014) aka Oldboot - link
Oldboot è stato pesantemente ricercato:
Successivamente, nel dicembre 2014, Palo Alto Networks Unit42 ha pubblicato alcune ricerche su un bootkit Android che hanno trovato chiamato Cool Reaper - link - link
Nel 2015, il malware Cloudsota è stato trovato spedito su tablet Android venduti su Amazon - link
Anche di recente nel 2016 è stato trovato uno smartphone Yashi contenente un bootkit -
link
Il bootkit di Adups Android è stato anche dettagliato a fine 2016 - link - e stava inviando dati privati in Cina - link
La società, Kryptowire, che ha trovato Adups ha anche trovato alcuni Blu Phone che contenevano malware a livello di bootkit nel 2017, per i telefoni venduti ancora su Amazon no-less - link
Questo argomento è stato anche discusso nel forum Android StackExchange qui - link - con alcuni suggerimenti e link per ulteriori informazioni sulla rimozione di rootkit a livello di sistema, se non su bootkits.