日前，Palo Alto Networks公司安全研究人員Wenjun Hu, Claud Xiao 和 Zhi Xu發(fā)現(xiàn)了一款新型木馬Rootnik，通過使用商業(yè)root工具獲取手機root訪問權限，進而獲取安卓設備的敏感信息，并影響范圍甚廣。

[[158763]]

什么是Rootnik

Rootnik使用一款定制的root工具Root Assistant軟件獲取設備的訪問權限，并通過逆向工程和重新打包，獲取了至少5個可利用漏洞來支持其惡意行為，運行Android 4.3及之前版本的設備均會受到影響。Root Assistant軟件由一家中國公司開發(fā)，主要用于幫助用戶獲取自己設備的root權限，Rootnik正是利用它的這項功能，來攻擊安卓設備。目前已經(jīng)影響了美國、馬來西亞、泰國、黎巴嫩和臺灣的用戶。

Rootnik可以通過嵌入以下合法應用程序的副本中進行傳播：

WiFi Analyzer
Open Camera
Infinite Loop
HD Camera
Windows Solitaire
ZUI Locker
Free Internet Austria

目前為止，已經(jīng)發(fā)現(xiàn)超過600個Rootnik樣本，執(zhí)行的惡意操作如下：

利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;

在設備的系統(tǒng)分區(qū)安裝多個APK文件，以維持root訪問;

在用戶不知情的情況下安裝和卸載系統(tǒng)和非系統(tǒng)應用;

使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名連接遠程服務器，并下載本地可執(zhí)行文件;

在當前進程中插入推廣廣告;

竊取WiFi信息，包括密碼和SSID或BSSID名稱;

獲取用戶信息，包括位置、MAC地址和設備ID等。

原理

Rootnik通過重新封裝和向合法安卓程序中注入惡意代碼進行傳播。當該木馬安裝在安卓設備上后，就會啟動一個新線程來獲取root權限，同時，它會開始一個‘app promotion’進程來在其他應用中顯示廣告推廣。

為了獲取root權限，Rootnik會從遠程服務器下載加密的有效載荷，然后會嘗試利用一些安卓漏洞，成功獲取root權限后，它會向系統(tǒng)分區(qū)寫入四個APK文件，并重啟設備。

圖一 Rootnik工作流程圖

設備重啟后，APK文件會偽裝成系統(tǒng)應用，通過分析，發(fā)現(xiàn)這些文件均擁有靜態(tài)文件名：

AndroidSettings.apk

BluetoothProviders.apk

WifiProviders.apk

VirusSecurityHunter.apk

AndroidSettings.apk的主要功能是廣告推廣，BluetoothProviders.apk和WifiProviders.apk實際執(zhí)行幾乎相同的任務，安裝或卸載應用程序，從遠程服務器下載并執(zhí)行新代碼。VirusSecurityHunter.apk則是私人數(shù)據(jù)收集組件，竊取用戶WiFi信息、位置信息及其他敏感信息。

保護和防御

由于Rootnik影響Android OS 4.4及之前版本，所以安卓用戶應該確保自己的設備及時升級，并且要從安卓官方應用商店下載應用，不要下載和安卓未知來源的軟件，以防Rootnik及同類型木馬控制設備，竊取用戶信息。