Исследователи информационной безопасности обнаружили новую угрозу для мобильных устройств. Речь идёт о трояне Rootnik, который использует необычную тактику для получения полного контроля над смартфонами. Вместо того чтобы разрабатывать собственные инструменты взлома, злоумышленники просто модифицировали коммерческую утилиту для рутирования устройств. Этот подход оказался настолько эффективным, что под ударом оказались владельцы Android по всему миру.
Описание
Rootnik представляет собой вредоносную программу, которая целенаправленно атакует устройства под управлением Android версии 4.3 и более ранних. Именно эти версии операционной системы содержат уязвимости, позволяющие получить root-доступ - полные привилегии администратора. По данным аналитиков, на данный момент жертвами трояна стали пользователи в Соединённых Штатах, Малайзии, Таиланде, Ливане и на Тайване. Примечательно, что атаки не затрагивают территорию Китая, хотя именно там была разработана утилита, которую злоумышленники приспособили для своих целей.
Механизм распространения Rootnik довольно изощрён. Троян внедряется в копии легитимных приложений, которые затем распространяются через сторонние магазины и файлообменные сети. Среди заражённых программ значатся WiFi Analyzer, Open Camera, HD Camera, Windows Solitaire, ZUI Locker, Free Internet Austria и игра Infinite Loop. Эксперты уже обнаружили более шестисот образцов этого вредоносного ПО.
Как обнаружили специалисты, проводившие анализ трояна, ключевая особенность Rootnik заключается в использовании модифицированной версии коммерческого инструмента Root Assistant. Эта утилита изначально создавалась китайской компанией для того, чтобы обычные пользователи могли получить root-доступ к собственным устройствам. Однако разработчики Rootnik переработали этот инструмент и успешно похитили как минимум пять эксплойтов, открывающих доступ к системе.
Среди использованных уязвимостей значатся CVE-2012-4221, CVE-2013-2596, CVE-2013-2597 и CVE-2013-6282. Все они затрагивают ядро Android и позволяют повысить привилегии до максимальных. В оригинальной версии Root Assistant разработчики предусмотрели защиту в виде магических строк - специальных паролей, которые требуются при запуске исполняемых файлов эксплойтов. Но злоумышленники просто извлекли эти компоненты и повторно упаковали их, обойдя таким образом защитный механизм.
Сразу после заражения Rootnik запускает цепочку действий. Сначала троян загружает с удалённого сервера зашифрованный архив, который содержит исполняемые файлы эксплойтов. После расшифровки программа запускает процедуру получения root-доступа. Если операция завершается успешно, на устройство записываются четыре файла APK, которые после перезагрузки устанавливаются как системные приложения. Их названия имитируют легитимные компоненты Android: AndroidSettings, BluetoothProviders, WifiProviders и VirusSecurityHunter.
Каждый из этих компонентов выполняет свою вредоносную функцию. AndroidSettings отвечает за агрессивную рекламную кампанию, которая приносит создателям трояна доход. BluetoothProviders и WifiProviders, несмотря на разные названия, выполняют идентичные задачи - они действуют как модуль удалённого управления. А вот VirusSecurityHunter представляет собой компонент для хищения приватных данных.
Особого внимания заслуживает именно модуль кражи информации. Несмотря на своё название, напоминающее антивирусное приложение, VirusSecurityHunter не имеет к защите никакого отношения. Этот компонент собирает данные о подключениях WiFi, включая пароли и ключи шифрования, а также идентификаторы SSID (названия сетей) и BSSID (адреса точек доступа). Для этого троян использует стандартные вызовы API Android, а также читает системный файл wpa_supplicant.conf, который хранит информацию обо всех WiFi-сетях, к которым подключалось устройство. Обычно этот файл недоступен для обычных приложений, но Rootnik, получивший root-привилегии, может беспрепятственно его читать.
Кроме того, модуль сбора данных каждые двадцать четыре часа отправляет на сервер управления информацию о местоположении жертвы, MAC-адресе устройства и его идентификаторе. Связь с удалёнными серверами осуществляется через зашифрованные каналы, что затрудняет обнаружение вредоносной активности.
Удалённое управление также реализовано на высоком уровне. Троян может втайне от пользователя устанавливать и удалять любые приложения, включая системные. Для этого он использует стандартные утилиты Android, запускаемые с максимальными привилегиями. Например, для установки нового приложения Rootnik загружает файл APK с указанного URL, а затем в зависимости от команды помещает его либо в пользовательскую область, либо в системный раздел. После успешной установки троян может немедленно запустить новое приложение.
Особую опасность представляет способность Rootnik загружать и выполнять произвольный код с серверов злоумышленников. Троян получает с удалённого сервера описание DEX-файла (исполняемого кода для виртуальной машины Android), проверяет его контрольную сумму и загружает по указанному адресу. После расшифровки этот код динамически загружается и выполняется в памяти устройства. Такая архитектура делает троян чрезвычайно гибким - злоумышленники могут в любой момент добавить новые вредоносные функции без необходимости обновлять само приложение.
Не менее агрессивно работает и рекламный модуль. Rootnik показывает пользователю объявления независимо от того, чем он занят в данный момент. Баннеры могут появляться в полноэкранном режиме даже на домашнем экране. Информация о том, какие приложения продвигать, загружается с сервера каждые пятнадцать минут. Примечательно, что база данных рекламных объявлений содержит колонку pay_out, в которой указана сумма дохода за каждую установку. Таким образом, создатели Rootnik зарабатывают на каждом принудительно установленном приложении.
Исследователи отмечают, что Rootnik взаимодействует с несколькими серверами управления. Среди доменов значатся applight.mobi, jaxfire.mobi, superflashlight.mobi и shenmeapp.info. Самые ранние записи о регистрации этих доменов датируются февралём 2015 года, и на момент публикации все серверы остаются активными.
Эта атака наглядно демонстрирует, насколько уязвимыми могут быть устройства под управлением старых версий Android. Пользователи, которые по разным причинам не обновляют свои смартфоны, остаются беззащитными перед подобными угрозами. Особую тревогу вызывает тот факт, что злоумышленники смогли адаптировать легитимный инструмент для своих целей, по сути превратив его в оружие. Единственная рекомендация для владельцев Android в данной ситуации - устанавливать приложения только из официального магазина Google Play и внимательно проверять разрешения, которые запрашивает программа. Кроме того, важно регулярно обновлять операционную систему, так как только в новых версиях закрыты те уязвимости, которые использует Rootnik.
Индикаторы компрометации
SHA256
- 0d612eb6d3ca2bbbc2aa33493065d8b4c3237f3cb262d48602181887ccea1afb
- 17a00e9e8a50a4e2ae0a2a5c88be0769a16c3fc90903dd1cf4f5b0b9b0aa1139
- 3bab02ec7ab2480c65b824350b387b00fc7fd9359ebca34fb42dda340ccbf5b6
- 690d44802b3638688c7e93bf9dc85b39fbfa2e03b5763a571caf665c8803b13b
- ae4be03204419fd96c4e5085b6e3ddd542f39c53f9c9d0fed4eecaf823a1b26e
- c1775e5fe89a0c8b1254e4d8a95686c56554b47f13e36d4f5cb551cb340f7021
- dc76856ff79cfdda7b227635f204ff3341e01ea537022497f5c6a70dc46b0cea
- f6b7b22bbe572c1ac1d7ac7135e076da87491eb78a37f17654a4aa92d88ded24