日前,palo alto networks公司安全研究人員wenjun hu, claud xiao 和 zhi xu發現了一款新型木馬rootnik,通過使用商業root工具獲取手機root訪問許可權,進而獲取安卓裝置的敏感資訊,並影響範圍甚廣。
什麼是rootnik
rootnik使用一款定製的root工具root assistant軟體獲取裝置的訪問許可權,並通過逆向工程和重新打包,獲取了至少5個可利用漏洞來支援其惡意行為,執行android 4.3及之前版本的裝置均會受到影響。root assistant軟體由一家中國公司開發,主要用於幫助使用者獲取自己裝置的root許可權,rootnik正是利用它的這項功能,來攻擊安卓裝置。目前已經影響了美國、馬來西亞、泰國、黎巴嫩和台灣的使用者。
rootnik可以通過嵌入以下合法應用程式的副本中進行傳播:
wifi analyzer目前為止,已經發現超過600個rootnik樣本,執行的惡意操作如下:open camera
infinite loop
hd camera
windows solitaire
zui locker
free internet austria
利用cve-2012-4221, cve-2013-2596, cve-2013-2597, cve-2013-6282等安卓漏洞;
在裝置的系統分割槽安裝多個apk檔案,以維持root訪問;
在使用者不知情的情況下安裝和解除安裝系統和非系統應用;
在當前程序中插入推廣廣告;
竊取wifi資訊,包括密碼和ssid或bssid名稱;
獲取使用者資訊,包括位置、mac位址和裝置id等。
原理
圖一 rootnik工作流程圖
裝置重啟後,apk檔案會偽裝成系統應用,通過分析,發現這些檔案均擁有靜態檔名:
androidsettings.apk
bluetoothproviders.apk
wifiproviders.apk
virussecurityhunter.apk
保護和防禦
緊急 通過saltstack漏洞獲取root許可權
緊急 通過saltstack漏洞獲取root許可權 the more you know the more you know you don t know 近期開源的集群管理工具saltstack爆出cvss得分為10分的漏洞如果你對cvss的評分沒有概念,那麼前幾年震驚網際網路圈的openssl心臟...
rancher部署的mysql修改root密碼
rancher docker mysql root 公司要求提高docker映象部署的mysql的root密碼強度,rancher可以管理環境變數,本以為很簡單改一下環境變數重啟就好了,結果不起作用。後來想了下應該是我們持久化的問題,mysql的docker映象在第一次啟動的時候會讀取環境變數配置的...
Android開機廣播無效問題(手機Root後)
關於android註冊過開機廣播而導致無響應的問題 先說說情景 之前有做過乙個開機啟動某個模組,是通過廣播接收開廣播,並做自己的處理。但是某些時刻發現此廣播突然無效了,那怕是再通過其它 action來啟動 或者 動態註冊同樣如此。後來突然發現乙個出現此問題的手機有乙個共同點,原來它們都被root過。...