木馬通過修改手機ROOT工具攻擊安卓設(shè)備

責(zé)任編輯:editor007

作者: vul_wish

2015-12-10 21:48:04

摘自: FreeBuf

日前,Palo Alto Networks公司安全研究人員Wenjun Hu, Claud Xiao 和 Zhi Xu發(fā)現(xiàn)了一款新型木馬Rootnik,通過使用商業(yè)root工具獲取手機root訪問權(quán)限,進而獲取安卓設(shè)備的敏感信息,并影響范圍甚廣。

日前,Palo Alto Networks公司安全研究人員Wenjun Hu, Claud Xiao 和 Zhi Xu發(fā)現(xiàn)了一款新型木馬Rootnik,通過使用商業(yè)root工具獲取手機root訪問權(quán)限,進而獲取安卓設(shè)備的敏感信息,并影響范圍甚廣。

木馬通過修改手機ROOT工具攻擊安卓設(shè)備

什么是Rootnik

Rootnik使用一款定制的root工具Root Assistant軟件獲取設(shè)備的訪問權(quán)限,并通過逆向工程和重新打包,獲取了至少5個可利用漏洞來支持其惡意行為,運行Android 4.3及之前版本的設(shè)備均會受到影響。Root Assistant軟件由一家中國公司開發(fā),主要用于幫助用戶獲取自己設(shè)備的root權(quán)限,Rootnik正是利用它的這項功能,來攻擊安卓設(shè)備。目前已經(jīng)影響了美國、馬來西亞、泰國、黎巴嫩和臺灣的用戶。

Rootnik可以通過嵌入以下合法應(yīng)用程序的副本中進行傳播:

WiFi Analyzer

Open Camera

Infinite Loop

HD Camera

Windows Solitaire

ZUI Locker

Free Internet Austria

目前為止,已經(jīng)發(fā)現(xiàn)超過600個Rootnik樣本,執(zhí)行的惡意操作如下:

利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;

在設(shè)備的系統(tǒng)分區(qū)安裝多個APK文件,以維持root訪問;

在用戶不知情的情況下安裝和卸載系統(tǒng)和非系統(tǒng)應(yīng)用;

使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名連接遠程服務(wù)器,并下載本地可執(zhí)行文件;

在當(dāng)前進程中插入推廣廣告;

竊取WiFi信息,包括密碼和SSID或BSSID名稱;

獲取用戶信息,包括位置、MAC地址和設(shè)備ID等。

原理

Rootnik通過重新封裝和向合法安卓程序中注入惡意代碼進行傳播。當(dāng)該木馬安裝在安卓設(shè)備上后,就會啟動一個新線程來獲取root權(quán)限,同時,它會開始一個‘app promotion’進程來在其他應(yīng)用中顯示廣告推廣。

為了獲取root權(quán)限,Rootnik會從遠程服務(wù)器下載加密的有效載荷,然后會嘗試利用一些安卓漏洞,成功獲取root權(quán)限后,它會向系統(tǒng)分區(qū)寫入四個APK文件,并重啟設(shè)備。

Rootnik工作流程圖

圖一 Rootnik工作流程圖

設(shè)備重啟后,APK文件會偽裝成系統(tǒng)應(yīng)用,通過分析,發(fā)現(xiàn)這些文件均擁有靜態(tài)文件名:

AndroidSettings.apk

BluetoothProviders.apk

WifiProviders.apk

VirusSecurityHunter.apk

AndroidSettings.apk的主要功能是廣告推廣,BluetoothProviders.apk和WifiProviders.apk實際執(zhí)行幾乎相同的任務(wù),安裝或卸載應(yīng)用程序,從遠程服務(wù)器下載并執(zhí)行新代碼。VirusSecurityHunter.apk則是私人數(shù)據(jù)收集組件,竊取用戶WiFi信息、位置信息及其他敏感信息。

保護和防御

由于Rootnik影響Android OS 4.4及之前版本,所以安卓用戶應(yīng)該確保自己的設(shè)備及時升級,并且要從安卓官方應(yīng)用商店下載應(yīng)用,不要下載和安卓未知來源的軟件,以防Rootnik及同類型木馬控制設(shè)備,竊取用戶信息。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號