木马通过修改手机ROOT工具攻击安卓设备

日前，Palo Alto Networks公司安全研究人员Wenjun Hu, Claud Xiao 和 Zhi Xu发现了一款新型木马Rootnik，通过使用商业root工具获取手机root访问权限，进而获取安卓设备的敏感信息，并影响范围甚广。

创新互联专注为客户提供全方位的互联网综合服务，包含不限于成都网站制作、成都网站设计、南昌县网络推广、重庆小程序开发、南昌县网络营销、南昌县企业策划、南昌县品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；创新互联为所有大学生创业者提供南昌县建站搭建服务，24小时服务热线：028-86922220，官方网址：www.cdcxhl.com

什么是Rootnik

Rootnik使用一款定制的root工具Root Assistant软件获取设备的访问权限，并通过逆向工程和重新打包，获取了至少5个可利用漏洞来支持其恶意行为，运行Android 4.3及之前版本的设备均会受到影响。Root Assistant软件由一家中国公司开发，主要用于帮助用户获取自己设备的root权限，Rootnik正是利用它的这项功能，来攻击安卓设备。目前已经影响了美国、马来西亚、泰国、黎巴嫩和台湾的用户。

Rootnik可以通过嵌入以下合法应用程序的副本中进行传播：

WiFi Analyzer
Open Camera
Infinite Loop
HD Camera
Windows Solitaire
ZUI Locker
Free Internet Austria

目前为止，已经发现超过600个Rootnik样本，执行的恶意操作如下：

利用CVE-2012-4221, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282等安卓漏洞;

在设备的系统分区安装多个APK文件，以维持root访问;

在用户不知情的情况下安装和卸载系统和非系统应用;

使用applight[.]mobi、jaxfire[.]mobi、superflashlight[.]mobi和shenmeapp[.]info域名连接远程服务器，并下载本地可执行文件;

在当前进程中插入推广广告;

窃取WiFi信息，包括密码和SSID或BSSID名称;

获取用户信息，包括位置、MAC地址和设备ID等。

原理

Rootnik通过重新封装和向合法安卓程序中注入恶意代码进行传播。当该木马安装在安卓设备上后，就会启动一个新线程来获取root权限，同时，它会开始一个‘app promotion’进程来在其他应用中显示广告推广。

为了获取root权限，Rootnik会从远程服务器下载加密的有效载荷，然后会尝试利用一些安卓漏洞，成功获取root权限后，它会向系统分区写入四个APK文件，并重启设备。

图一 Rootnik工作流程图

设备重启后，APK文件会伪装成系统应用，通过分析，发现这些文件均拥有静态文件名：

AndroidSettings.apk

BluetoothProviders.apk

WifiProviders.apk

VirusSecurityHunter.apk

AndroidSettings.apk的主要功能是广告推广，BluetoothProviders.apk和WifiProviders.apk实际执行几乎相同的任务，安装或卸载应用程序，从远程服务器下载并执行新代码。VirusSecurityHunter.apk则是私人数据收集组件，窃取用户WiFi信息、位置信息及其他敏感信息。

保护和防御

由于Rootnik影响Android OS 4.4及之前版本，所以安卓用户应该确保自己的设备及时升级，并且要从安卓官方应用商店下载应用，不要下载和安卓未知来源的软件，以防Rootnik及同类型木马控制设备，窃取用户信息。

本文题目：木马通过修改手机ROOT工具攻击安卓设备
链接地址：http://www.hantingmc.com/qtweb/news48/494548.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联