木马通过修改手机ROOT工具攻击安卓设备
日前,Palo Alto Networks公司安全研究人员Wenjun Hu, Claud Xiao 和 Zhi Xu发现了一款新型木马Rootnik,通过使用商业root工具获取手机root访问权限,进而获取安卓设备的敏感信息,并影响范围甚广。
什么是Rootnik
Rootnik使用一款定制的root工具Root Assistant软件获取设备的访问权限,并通过逆向工程和重新打包,获取了至少5个可利用漏洞来支持其恶意行为,运行Android 4.3及之前版本的设备均会受到影响。Root Assistant软件由一家中国公司开发,主要用于帮助用户获取自己设备的root权限,Rootnik正是利用它的这项功能,来攻击安卓设备。目前已经影响了美国、马来西亚、泰国、黎巴嫩和台湾的用户。
Rootnik可以通过嵌入以下合法应用程序的副本中进行传播:
WiFi Analyzer Open Camera Infinite Loop HD Camera Windows Solitaire ZUI Locker Free Internet Austria
目前为止,已经发现超过600个Rootnik样本,执行的恶意操作如下:
利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;
在设备的系统分区安装多个APK文件,以维持root访问;
在用户不知情的情况下安装和卸载系统和非系统应用;
使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名连接远程服务器,并下载本地可执行文件;
在当前进程中插入推广广告;
窃取WiFi信息,包括密码和SSID或BSSID名称;
获取用户信息,包括位置、MAC地址和设备ID等。
原理
Rootnik通过重新封装和向合法安卓程序中注入恶意代码进行传播。当该木马安装在安卓设备上后,就会启动一个新线程来获取root权限,同时,它会开始一个‘app promotion’进程来在其他应用中显示广告推广。
为了获取root权限,Rootnik会从远程服务器下载加密的有效载荷,然后会尝试利用一些安卓漏洞,成功获取root权限后,它会向系统分区写入四个APK文件,并重启设备。
图一 Rootnik工作流程图
设备重启后,APK文件会伪装成系统应用,通过分析,发现这些文件均拥有静态文件名:
AndroidSettings.apk
BluetoothProviders.apk
WifiProviders.apk
VirusSecurityHunter.apk
AndroidSettings.apk的主要功能是广告推广,BluetoothProviders.apk和WifiProviders.apk实际执行几乎相同的任务,安装或卸载应用程序,从远程服务器下载并执行新代码。VirusSecurityHunter.apk则是私人数据收集组件,窃取用户WiFi信息、位置信息及其他敏感信息。
保护和防御
由于Rootnik影响Android OS 4.4及之前版本,所以安卓用户应该确保自己的设备及时升级,并且要从安卓官方应用商店下载应用,不要下载和安卓未知来源的软件,以防Rootnik及同类型木马控制设备,窃取用户信息。
作者:vul_wish
来源:51CTO
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- 安卓手机开启USB共享网络,ROS的LTE就可以检测到一个新设备,可以上网了。随身WIFE-5G-4G
- 应用Truecaller存在远程利用漏洞,影响一亿安卓设备
- 安卓播放音频
- 安卓模拟器使用
- “色情机器”改掉手机PIN码 勒索安卓设备用户
- 安卓如何获取APP的崩溃日志
- 一步解决安卓模拟器控制键无法使用问题
- Unity3D安卓打包参数配置与兼容性的关系分析
- 安卓开发中非常炫的效果集合
- 安卓开发入门教程-UI控件_Button
- 安卓开发入门教程-通过VideoView播放视频
- 安卓读取短信
- 安卓调用系统自带浏览器打开网页的实现方法
- 安卓属性动画总结
- 安卓程序员要拿到5000和1w的薪资,分别需要掌握哪些技术?
- 【Android FFMPEG 开发】音视频基础 和 FFMPEG 编译 ( 音视频基础 | MPEG-4 标准 | Android 开发环境 | FFMPEG 交叉编译 | 安卓项目导入配置 )