日前，Palo Alto Networks公司安全研究人員Wenjun Hu, Claud Xiao 和 Zhi Xu發(fā)現(xiàn)了一款新型木馬Rootnik，通過使用商業(yè)root工具獲取手機root訪問權(quán)限，進而獲取安卓設(shè)備的敏感信息，并影響范圍甚廣。

[[158763]]

什么是Rootnik

Rootnik使用一款定制的root工具Root Assistant軟件獲取設(shè)備的訪問權(quán)限，并通過逆向工程和重新打包，獲取了至少5個可利用漏洞來支持其惡意行為，運行Android 4.3及之前版本的設(shè)備均會受到影響。Root Assistant軟件由一家中國公司開發(fā)，主要用于幫助用戶獲取自己設(shè)備的root權(quán)限，Rootnik正是利用它的這項功能，來攻擊安卓設(shè)備。目前已經(jīng)影響了美國、馬來西亞、泰國、黎巴嫩和臺灣的用戶。

Rootnik可以通過嵌入以下合法應(yīng)用程序的副本中進行傳播：

WiFi Analyzer
Open Camera
Infinite Loop
HD Camera
Windows Solitaire
ZUI Locker
Free Internet Austria

目前為止，已經(jīng)發(fā)現(xiàn)超過600個Rootnik樣本，執(zhí)行的惡意操作如下：

利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;

在設(shè)備的系統(tǒng)分區(qū)安裝多個APK文件，以維持root訪問;

在用戶不知情的情況下安裝和卸載系統(tǒng)和非系統(tǒng)應(yīng)用;

使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名連接遠程服務(wù)器，并下載本地可執(zhí)行文件;

在當(dāng)前進程中插入推廣廣告;

竊取WiFi信息，包括密碼和SSID或BSSID名稱;

獲取用戶信息，包括位置、MAC地址和設(shè)備ID等。

原理

Rootnik通過重新封裝和向合法安卓程序中注入惡意代碼進行傳播。當(dāng)該木馬安裝在安卓設(shè)備上后，就會啟動一個新線程來獲取root權(quán)限，同時，它會開始一個‘app promotion’進程來在其他應(yīng)用中顯示廣告推廣。

為了獲取root權(quán)限，Rootnik會從遠程服務(wù)器下載加密的有效載荷，然后會嘗試利用一些安卓漏洞，成功獲取root權(quán)限后，它會向系統(tǒng)分區(qū)寫入四個APK文件，并重啟設(shè)備。

圖一 Rootnik工作流程圖

設(shè)備重啟后，APK文件會偽裝成系統(tǒng)應(yīng)用，通過分析，發(fā)現(xiàn)這些文件均擁有靜態(tài)文件名：

AndroidSettings.apk

BluetoothProviders.apk

WifiProviders.apk

VirusSecurityHunter.apk

AndroidSettings.apk的主要功能是廣告推廣，BluetoothProviders.apk和WifiProviders.apk實際執(zhí)行幾乎相同的任務(wù)，安裝或卸載應(yīng)用程序，從遠程服務(wù)器下載并執(zhí)行新代碼。VirusSecurityHunter.apk則是私人數(shù)據(jù)收集組件，竊取用戶WiFi信息、位置信息及其他敏感信息。

保護和防御

由于Rootnik影響Android OS 4.4及之前版本，所以安卓用戶應(yīng)該確保自己的設(shè)備及時升級，并且要從安卓官方應(yīng)用商店下載應(yīng)用，不要下載和安卓未知來源的軟件，以防Rootnik及同類型木馬控制設(shè)備，竊取用戶信息。