Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Android malware z dostępem root

Kapitan Hack / Cybernews / Android malware z dostępem root

Niezidentyfikowany aktor został powiązany z nową odmianą złośliwego oprogramowania na Androida, która umożliwia zdalne rootowanie smartfonów i przejęcie pełnej kontroli nad zainfekowanymi urządzeniami, jednocześnie unikając wykrycia. Root w slangu systemu Android oznacza dostanie się do rdzennych ustawień systemowych, co domyślnie jest zablokowane na każdym urządzeniu i wiąże się z utratą gwarancji.

Złośliwe oprogramowanie, o którym mowa nazywa się „AbstractEmu” ze względu na wykorzystanie abstrakcyjnego kodu (mało zrozumiałego) i kontroli anty-emulacyjnych podejmowanych w celu udaremnienia analizy od momentu otwarcia aplikacji. Warto zauważyć, że globalna kampania mobilna została zaprojektowana tak, aby infekować jak najwięcej urządzeń bez wykrycia i dawania o sobie znać użytkownikowi.

Lookout Threat Labs poinformowało, że znalazło łącznie 19 złośliwych aplikacji na Androida, które podszywały się pod aplikacje użytkowe i narzędzia systemowe, takie jak menadżery haseł, programy uruchamiające aplikacje i aplikacje do oszczędzania danych, z których siedem zawierało funkcję rootowania. Tylko jedna z tych aplikacji, o nazwie Lite Launcher, trafiła do oficjalnego sklepu Google Play, przyciągając łącznie 10 000 pobrań, zanim została usunięta.

Mówi się, że aplikacje są szeroko dystrybuowane za pośrednictwem sklepów innych firm, takich jak Amazon Appstore i Samsung Galaxy Store, a także innych mniej znanych, takich jak Aptoide i APKPure.

Gdy urządzenie zostanie zainfekowane, aplikacja zacznie komunikować się ze swoim serwerem dowodzenia i kontroli (C2) za pośrednictwem protokołu HTTP, oczekując na wykonanie serii poleceń JSON. Każda złośliwa aplikacja zawiera zakodowane polecenia, które obsługuje. Aby zdecydować, które polecenie wykonać, aplikacja wyśle dużą ilość danych do serwera C2, w tym zarówno obsługiwane polecenia, jak i dane urządzenia.
Dane o urządzeniu przesyłane do serwera C2 w początkowej fazie infekcji:

Autor: 4 min czytania
  • Producent, model, wersja, numer seryjny
  • Adres IP
  • Mac adres karty Wifi i Bluetooth
  • Nazwa i wersja złośliwej aplikacji
  • Rodzaj uprawnień nadanych dla aplikacji
  • Informacja o karcie SIM
  • Strefa czasowa
  • Informacje o koncie Google
  • Lista wspieranych poleceń złośliwej aplikacji
  • Status dostępu root

Chociaż rootowanie systemu przez malware jest bardzo rzadkie, to jest również bardzo niebezpieczne. Wykorzystując proces rootowania w celu uzyskania uprzywilejowanego dostępu do systemu Android, cyberprzestępca może po cichu przyznać sobie niebezpieczne uprawnienia lub zainstalować dodatkowe złośliwe oprogramowanie — czynności, które normalnie wymagałyby interakcji użytkownika. Podwyższone uprawnienia zapewniają również dostęp szkodliwemu oprogramowaniu do wrażliwych danych innych aplikacji, co nie jest możliwe w normalnych okolicznościach.

Podwyższone uprawnienia, o które przyznaje sobie aplikacja:

  • Kontakty
  • Dzienniki połączeń
  • Wiadomości SMS
  • GPS
  • Kamera
  • Mikrofon

Niektóre z możliwości aplikacji:

  • Resetowanie hasła do urządzenia
  • Tworzenie nowych okien
  • Instalowanie paczek
  • Monitorowanie powiadomień
  • Przechwytywanie zrzutów ekranu
  • Nagrywanie ekranu
  • Wyłączanie „Google Play Protect”

Po zainstalowaniu paczki łańcuch ataku jest zaprojektowany tak, aby wykorzystać jeden z pięciu exploitów dla starszych luk w zabezpieczeniach Androida. Podatności te umożliwiają właśnie uzyskanie uprawnień roota, przejęcie urządzenia, wyodrębnienie poufnych danych i przesłanie ich do zdalnego serwera kontrolowanego przez atakującego.

  • CVE-2015-3636 (PongPongRoot)
  • CVE-2015-1805 (iovyroot)
  • CVE-2019-2215 (Qu1ckr00t)
  • CVE-2020-0041
  • CVE-2020-0069

Lookout przypisał masową kampanię rozpowszechniającą rootujące złośliwe oprogramowanie „grupie dysponującej dobrymi zasobami i motywacją finansową”, a dane telemetryczne ujawniły, że najbardziej poszkodowani byli użytkownicy urządzeń z Androidem w USA. Ostateczny cel infiltracji pozostaje na razie niejasny.

Wiadomo też, że najnowsza wersja systemu Android 12 dostępna od początku października jest odporna na wszystkie z wymienionych metod ataku. Oczywiście starsze urządzenia są najbardziej zagrożone, bo nie wszystkie z nich będzie dało się załatać.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
4 min czytania 10 paź 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
4 min czytania 6 paź 2025 09:22
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...
7 min czytania 3 paź 2025 07:06
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.