Компания Palo Alto Networks предупреждает о новом Android-трояне, которому дали имя Rootnik. Малварь получает root-доступ к устройствам своих жертв, используя коммерческий root-инструмент Root Assistant, а затем похищает данные пользователей.

По данным специалистов Palo Alto Networks, новый вредонос поразил пользователей в США, Малайзии, Таиланде, Тайване и Ливане. Rootnik распространяется путем внедрения в безвредные приложения. Эксперты обнаружили  вредоносные версии программ WiFi Analyzer, Open Camera, Infinite Loop, HD Camera, Windows Solitaire, ZUI Locker и Free Internet Austria. Суммарно компании удалось найти более 600 образцов трояна. Rootnik заражает операционные системы от Android 4.3 и выше.

Для получения root-доступа к устройству жертвы, Rootnik использует легитимную утилиту Root Assistant, созданную в Китае. Инструмент Root Assistant действительно призван помочь пользователям в получении root-доступа к своему устройству. Но авторы программы явно не предполагали, что их разработка найдет признание у злоумышленников.

Есть у трояна и одна интересная особенность – он пытается получить root-доступ к устройству, основываясь на данных о стране использования девайса. Так, малварь вообще не пытается «нападать» на пользователей из Китая.

Авторы малвари имеют в своем распоряжении не менее пяти эксплоитов для платформы Android. Palo Alto Networks сообщает, что злоумышленники используют баги CVE-2012-4221, CVE-2013-2596, CVE-2013-2597 и CVE-2013-6282. Это позволяет хакерам устанавливать и удалять системные и несистемные приложения, не оповещая пользователя о происходящем. Также Rootnik устанавливает в системный раздел пораженного девайса несколько APK-файлов (AndroidSettings.apk, BluetoothProviders.apk, WifiProviders.apk и VirusSecurityHunter.apk), чтобы лучше закрепиться в системе, после получения root-доступа.

Укрепившись в системе, Rootnik способен скачивать исполняемые файлы с командных серверов и пускать их в дело. Основная задача вредоноса — агрессивно насаждать в системе рекламу, показывая полноэкранные баннеры даже на домашнем экране. Кроме того, троян может похищать информацию о Wi-Fi сетях, в том числе пароли, ключи, идентификаторы SSID и BSSID. В опасности также оказывается и личная информация пользователя: Rootnik агрегирует и ворует данные о местонахождении жертвы, MAC-адрес устройства и его ID.

Чтобы защититься от Rootnik  и других подобных угроз, специалисты Palo Alto Networks рекомендуют обновить Android до последней версии и не устанавливать приложениях из подозрительных источников.

Фото:Rob Bulmahn



3 комментария

  1. John Cramer

    10.12.2015 at 13:55

    «и пусть их в дело» — какой-то корявый девиз для малварщиков. 🙂

  2. snouden

    11.12.2015 at 06:28

    Лучше вообще отказаться от гавноида.

Оставить мнение