Casa > cibernético Notícias > Trojan Rootnik tem como alvo o Android, Emprega um assistente de raiz legítima
CYBER NEWS

Trojan Rootnik tem como alvo o Android, Emprega um assistente de raiz legítima

Um novo cavalo de Tróia voltado para dispositivos Android - Rootnik - acaba de ser analisado por fornecedores de segurança. Rootnik é projetado para usar uma ferramenta de raiz comercial personalizada conhecida como Root Assistant, desenvolvido por uma empresa chinesa. O Root Assistant foi desenvolvido para ajudar os usuários a obter acesso root aos seus dispositivos.

Como o Rootnik tira vantagem do Root Assistant? Os cibercriminosos aplicaram técnicas de engenharia reversa, e roubou pelo menos cinco exploits que permitiram acesso root ao Android. Os sistemas afetados incluem Android 4.3 e versões anteriores.

Os usuários comprometidos pelo Trojan estão localizados nos EUA, Malásia, Tailândia, Taiwan e libano. Contudo, tendo em mente como o software malicioso se move, mais vítimas de outros locais são esperadas.

Mais notícias relacionadas ao Android:

Biblioteca Taomike SDK pega espionando SMS em 18 000 Apps
Como remover Lockerpin.A Ransomware do Android

Métodos de infecção rootnic analisados ​​e explicados

Pesquisadores de Palo Alto explicam como Rootnik funciona. Eles observaram que o Rootnik pode se espalhar ao ser incorporado em cópias de aplicativos legítimos, como:

  • Analisador de WiFi
  • Câmera Aberta
  • Loop infinito
  • Câmera HD
  • Windows Solitaire
  • ZUI Locker
  • Internet grátis na Áustria

Explicação da operação de Rootnik
image Source: Palo Alto

Os pesquisadores também notaram que Rootnik foi capaz de realizar uma série de ações maliciosas, como:

  • Explorar uma versão personalizada do Root Assistant e as seguintes vulnerabilidades do Android – CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282;
  • Alcance um estado persistente por meio da instalação de arquivos APK na partição do sistema do dispositivo atacado;
  • Instalação e desinstalação do sistema e aplicativo não pertencente ao sistema sem o conhecimento ou aprovação do usuário;
  • Baixando arquivos .exe de locais remotos;
  • Exibindo anúncios pop-up maliciosos em tela inteira, promoção de outros aplicativos.
  • Roubar detalhes de WiFi de dispositivos comprometidos, como senhas, chaves e SSID (Identificadores de conjunto de serviços) e BSSID (Conjunto de serviços básicos) identificadores.
  • Roubo de PII (informação pessoalmente identificável) como localização, endereço MAC do telefone, Identificador do dispositivo, etc.

O Trojan Rootnik também é capaz de se conectar a vários nomes de domínio:

aplique[.]mobi
Jaxfire[.]mobi
superflashlight[.]mobi
shenmeapp[.]informações

Os pesquisadores de Palo Alto também alertam que no momento de suas análises, aqueles locais remotos estavam ativos.

Payload de Rootnik

Como já mencionado, a distribuição do cavalo de Tróia Android consiste em reembalar e inserir código malicioso em aplicativos legítimos. Depois da execução, Rootnik lança uma nova ameaça para obter privilégios de root.

Caso o dispositivo comprometido esteja executando o Android 4.3 Ou mais cedo, e o dispositivo não está localizado em vários países especificados no arquivo AndroidManifest.xml, Rootnik tentará obter acesso root. Todas as amostras analisadas foram configuradas para obter tal acesso em todos os locais esperados na China. Este fato é bastante intrigante, desde a ferramenta raiz (Acesso Root) empregado pelo Trojan também é desenvolvido na China.

Referências

Centro de Pesquisa PaloAlto

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo