日前,palo alto networks公司安全研究人員wenjun hu, claud xiao 和 zhi xu發現了一款新型木馬rootnik,通過使用商業root工具擷取手機root通路權限,進而擷取安卓裝置的敏感資訊,并影響範圍甚廣。
什麼是rootnik
rootnik使用一款定制的root工具root assistant軟體擷取裝置的通路權限,并通過逆向工程和重新打包,擷取了至少5個可利用漏洞來支援其惡意行為,運作android 4.3及之前版本的裝置均會受到影響。root assistant軟體由一家中國公司開發,主要用于幫助使用者擷取自己裝置的root權限,rootnik正是利用它的這項功能,來攻擊安卓裝置。目前已經影響了美國、馬來西亞、泰國、黎巴嫩和台灣的使用者。
rootnik可以通過嵌入以下合法應用程式的副本中進行傳播:
目前為止,已經發現超過600個rootnik樣本,執行的惡意操作如下:
利用cve-2012-4221, cve-2013-2596, cve-2013-2597, cve-2013-6282等安卓漏洞;
在裝置的系統分區安裝多個apk檔案,以維持root通路;
在使用者不知情的情況下安裝和解除安裝系統和非系統應用;
使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名連接配接遠端伺服器,并下載下傳本地可執行檔案;
在目前程序中插入推廣廣告;
竊取wifi資訊,包括密碼和ssid或bssid名稱;
擷取使用者資訊,包括位置、mac位址和裝置id等。
原理
rootnik通過重新封裝和向合法安卓程式中注入惡意代碼進行傳播。當該木馬安裝在安卓裝置上後,就會啟動一個新線程來擷取root權限,同時,它會開始一個‘app promotion’程序來在其他應用中顯示廣告推廣。
為了擷取root權限,rootnik會從遠端伺服器下載下傳加密的有效載荷,然後會嘗試利用一些安卓漏洞,成功擷取root權限後,它會向系統分區寫入四個apk檔案,并重新開機裝置。
圖一 rootnik工作流程圖
裝置重新開機後,apk檔案會僞裝成系統應用,通過分析,發現這些檔案均擁有靜态檔案名:
androidsettings.apk
bluetoothproviders.apk
wifiproviders.apk
virussecurityhunter.apk
androidsettings.apk的主要功能是廣告推廣,bluetoothproviders.apk和wifiproviders.apk實際執行幾乎相同的任務,安裝或解除安裝應用程式,從遠端伺服器下載下傳并執行新代碼。virussecurityhunter.apk則是私人資料收集元件,竊取使用者wifi資訊、位置資訊及其他敏感資訊。
保護和防禦
由于rootnik影響android os 4.4及之前版本,是以安卓使用者應該確定自己的裝置及時更新,并且要從安卓官方應用商店下載下傳應用,不要下載下傳和安卓未知來源的軟體,以防rootnik及同類型木馬控制裝置,竊取使用者資訊。
作者:vul_wish
來源:51cto