日前,Palo Alto Networks公司安全研究人員Wenjun Hu, Claud Xiao 和 Zhi Xu發(fā)現(xiàn)了一款新型木馬Rootnik,通過使用商業(yè)root工具獲取手機root訪問權(quán)限,進而獲取安卓設(shè)備的敏感信息,并影響范圍甚廣。
什么是Rootnik
Rootnik使用一款定制的root工具Root Assistant軟件獲取設(shè)備的訪問權(quán)限,并通過逆向工程和重新打包,獲取了至少5個可利用漏洞來支持其惡意行為,運行Android 4.3及之前版本的設(shè)備均會受到影響。Root Assistant軟件由一家中國公司開發(fā),主要用于幫助用戶獲取自己設(shè)備的root權(quán)限,Rootnik正是利用它的這項功能,來攻擊安卓設(shè)備。目前已經(jīng)影響了美國、馬來西亞、泰國、黎巴嫩和臺灣的用戶。
Rootnik可以通過嵌入以下合法應(yīng)用程序的副本中進行傳播:
WiFi Analyzer
Open Camera
Infinite Loop
HD Camera
Windows Solitaire
ZUI Locker
Free Internet Austria
目前為止,已經(jīng)發(fā)現(xiàn)超過600個Rootnik樣本,執(zhí)行的惡意操作如下:
利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;
在設(shè)備的系統(tǒng)分區(qū)安裝多個APK文件,以維持root訪問;
在用戶不知情的情況下安裝和卸載系統(tǒng)和非系統(tǒng)應(yīng)用;
使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名連接遠程服務(wù)器,并下載本地可執(zhí)行文件;
在當(dāng)前進程中插入推廣廣告;
竊取WiFi信息,包括密碼和SSID或BSSID名稱;
獲取用戶信息,包括位置、MAC地址和設(shè)備ID等。
原理
Rootnik通過重新封裝和向合法安卓程序中注入惡意代碼進行傳播。當(dāng)該木馬安裝在安卓設(shè)備上后,就會啟動一個新線程來獲取root權(quán)限,同時,它會開始一個‘app promotion’進程來在其他應(yīng)用中顯示廣告推廣。
為了獲取root權(quán)限,Rootnik會從遠程服務(wù)器下載加密的有效載荷,然后會嘗試利用一些安卓漏洞,成功獲取root權(quán)限后,它會向系統(tǒng)分區(qū)寫入四個APK文件,并重啟設(shè)備。
圖一 Rootnik工作流程圖
設(shè)備重啟后,APK文件會偽裝成系統(tǒng)應(yīng)用,通過分析,發(fā)現(xiàn)這些文件均擁有靜態(tài)文件名:
AndroidSettings.apk
BluetoothProviders.apk
WifiProviders.apk
VirusSecurityHunter.apk
AndroidSettings.apk的主要功能是廣告推廣,BluetoothProviders.apk和WifiProviders.apk實際執(zhí)行幾乎相同的任務(wù),安裝或卸載應(yīng)用程序,從遠程服務(wù)器下載并執(zhí)行新代碼。VirusSecurityHunter.apk則是私人數(shù)據(jù)收集組件,竊取用戶WiFi信息、位置信息及其他敏感信息。
保護和防御
由于Rootnik影響Android OS 4.4及之前版本,所以安卓用戶應(yīng)該確保自己的設(shè)備及時升級,并且要從安卓官方應(yīng)用商店下載應(yīng)用,不要下載和安卓未知來源的軟件,以防Rootnik及同類型木馬控制設(shè)備,竊取用戶信息。