Xakep #305. Многошаговые SQL-инъекции
Компания Palo Alto Networks предупреждает о новом Android-трояне, которому дали имя Rootnik. Малварь получает root-доступ к устройствам своих жертв, используя коммерческий root-инструмент Root Assistant, а затем похищает данные пользователей.
По данным специалистов Palo Alto Networks, новый вредонос поразил пользователей в США, Малайзии, Таиланде, Тайване и Ливане. Rootnik распространяется путем внедрения в безвредные приложения. Эксперты обнаружили вредоносные версии программ WiFi Analyzer, Open Camera, Infinite Loop, HD Camera, Windows Solitaire, ZUI Locker и Free Internet Austria. Суммарно компании удалось найти более 600 образцов трояна. Rootnik заражает операционные системы от Android 4.3 и выше.
Для получения root-доступа к устройству жертвы, Rootnik использует легитимную утилиту Root Assistant, созданную в Китае. Инструмент Root Assistant действительно призван помочь пользователям в получении root-доступа к своему устройству. Но авторы программы явно не предполагали, что их разработка найдет признание у злоумышленников.
Есть у трояна и одна интересная особенность – он пытается получить root-доступ к устройству, основываясь на данных о стране использования девайса. Так, малварь вообще не пытается "нападать" на пользователей из Китая.
Авторы малвари имеют в своем распоряжении не менее пяти эксплоитов для платформы Android. Palo Alto Networks сообщает, что злоумышленники используют баги CVE-2012-4221, CVE-2013-2596, CVE-2013-2597 и CVE-2013-6282. Это позволяет хакерам устанавливать и удалять системные и несистемные приложения, не оповещая пользователя о происходящем. Также Rootnik устанавливает в системный раздел пораженного девайса несколько APK-файлов (AndroidSettings.apk, BluetoothProviders.apk, WifiProviders.apk и VirusSecurityHunter.apk), чтобы лучше закрепиться в системе, после получения root-доступа.
Укрепившись в системе, Rootnik способен скачивать исполняемые файлы с командных серверов и пускать их в дело. Основная задача вредоноса — агрессивно насаждать в системе рекламу, показывая полноэкранные баннеры даже на домашнем экране. Кроме того, троян может похищать информацию о Wi-Fi сетях, в том числе пароли, ключи, идентификаторы SSID и BSSID. В опасности также оказывается и личная информация пользователя: Rootnik агрегирует и ворует данные о местонахождении жертвы, MAC-адрес устройства и его ID.
Чтобы защититься от Rootnik и других подобных угроз, специалисты Palo Alto Networks рекомендуют обновить Android до последней версии и не устанавливать приложениях из подозрительных источников.
Фото:Rob Bulmahn