日前,Palo Alto Networks公司安全研究人員Wenjun Hu, Claud Xiao 和 Zhi Xu發現了一款新型木馬Rootnik,通過使用商業root工具獲取手機root訪問權限,進而獲取安卓設備的敏感信息,并影響范圍甚廣。
什么是Rootnik
Rootnik使用一款定制的root工具Root Assistant軟件獲取設備的訪問權限,并通過逆向工程和重新打包,獲取了至少5個可利用漏洞來支持其惡意行為,運行Android 4.3及之前版本的設備均會受到影響。Root Assistant軟件由一家中國公司開發,主要用于幫助用戶獲取自己設備的root權限,Rootnik正是利用它的這項功能,來攻擊安卓設備。目前已經影響了美國、馬來西亞、泰國、黎巴嫩和臺灣的用戶。
Rootnik可以通過嵌入以下合法應用程序的副本中進行傳播:
WiFi Analyzer
Open Camera
Infinite Loop
HD Camera
Windows Solitaire
ZUI Locker
Free Internet Austria
目前為止,已經發現超過600個Rootnik樣本,執行的惡意操作如下:
利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;
在設備的系統分區安裝多個APK文件,以維持root訪問;
在用戶不知情的情況下安裝和卸載系統和非系統應用;
使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名連接遠程服務器,并下載本地可執行文件;
在當前進程中插入推廣廣告;
竊取WiFi信息,包括密碼和SSID或BSSID名稱;
獲取用戶信息,包括位置、MAC地址和設備ID等。
原理
Rootnik通過重新封裝和向合法安卓程序中注入惡意代碼進行傳播。當該木馬安裝在安卓設備上后,就會啟動一個新線程來獲取root權限,同時,它會開始一個‘app promotion’進程來在其他應用中顯示廣告推廣。
為了獲取root權限,Rootnik會從遠程服務器下載加密的有效載荷,然后會嘗試利用一些安卓漏洞,成功獲取root權限后,它會向系統分區寫入四個APK文件,并重啟設備。
圖一 Rootnik工作流程圖
設備重啟后,APK文件會偽裝成系統應用,通過分析,發現這些文件均擁有靜態文件名:
AndroidSettings.apk
BluetoothProviders.apk
WifiProviders.apk
VirusSecurityHunter.apk
AndroidSettings.apk的主要功能是廣告推廣,BluetoothProviders.apk和WifiProviders.apk實際執行幾乎相同的任務,安裝或卸載應用程序,從遠程服務器下載并執行新代碼。VirusSecurityHunter.apk則是私人數據收集組件,竊取用戶WiFi信息、位置信息及其他敏感信息。
保護和防御
由于Rootnik影響Android OS 4.4及之前版本,所以安卓用戶應該確保自己的設備及時升級,并且要從安卓官方應用商店下載應用,不要下載和安卓未知來源的軟件,以防Rootnik及同類型木馬控制設備,竊取用戶信息。
京公網安備 11010502049343號