爱内测
首页> 最新资讯 > 【热门资讯】新型木马Rootnik修改手机ROOT工具窃取安卓用户信息

【热门资讯】新型木马Rootnik修改手机ROOT工具窃取安卓用户信息

发布时间:2015-12-11

近日,国外Palo Alto Networks的安全研究人员Wenjun Hu, Claud Xiao 和 Zhi Xu发现了一款新型的木马病毒Rootnik,该木马病毒可以通过商业的ROOT工具来获取手机ROOT的访问权限,进而窃取安卓用户的个人信息。

根据介绍,这款木马病毒Rootnik使用一款定制的root工具Root Assistant软件来获取设备的访问权限,并通过逆向工程和重新打包,获取到至少5个可利用漏洞来支持其恶意行为,运行Android 4.3及之前版本的设备均会受到影响。Root Assistant软件由一家中国公司开发,主要用于帮助用户获取自己设备的root权限,Rootnik正是利用它的这项功能,来攻击安卓设备。目前已经影响了美国、马来西亚、泰国、黎巴嫩和台湾的用户。

Rootnik可以通过嵌入以下合法应用程序的副本中进行传播:

目前为止,已经发现超过600个Rootnik样本,执行的恶意操作如下:

Rootnik通过重新封装和向合法安卓程序中注入恶意代码进行传播。当该木马安装在安卓设备上后,就会启动一个新线程来获取root权限,同时,它会开始一个‘app promotion’进程来在其他应用中显示广告推广。

为了获取root权限,Rootnik会从远程服务器下载加密的有效载荷,然后会尝试利用一些安卓漏洞,成功获取root权限后,它会向系统分区写入四个APK文件,并重启设备。

设备重启后,APK文件会伪装成系统应用,通过分析,发现这些文件均拥有静态文件名:

AndroidSettings.apk的主要功能是广告推广,BluetoothProviders.apk和WifiProviders.apk实际执行几乎相同的任务,安装或卸载应用程序,从远程服务器下载并执行新代码。VirusSecurityHunter.apk则是私人数据收集组件,窃取用户WiFi信息、位置信息及其他敏感信息。

PS:由于Rootnik影响Android OS 4.4及之前版本,所以安卓用户应该确保自己的设备及时升级,并且要从安卓官方应用商店下载应用,不要下载和安卓未知来源的软件,以防Rootnik及同类型木马控制设备,窃取用户信息。


加入收藏
安卓加密 安卓源码 DevStore 安全脉搏 云服务器 Milw0rm'Team 美团云 够用云 云智慧 Teambition 推酷网 计蒜客 AnySDK SegmentFault 洋葱 Udesk 云之讯