„Bezbożnik” w akcji – rootuje 90% Androidów – od 5.1 w dół. Złośliwe appki też w Google Play

TrendMicro raportuje o wykryciu rodziny malware okrzykniętej zbiorczo „Bezbożnikiem” (ang. Godless).

TL;DR: najnowsza odmiana zaczyna rootować urządzenie po zablokowaniu ekranu przez użytkownika, później dociąga złośliwy kod i finalnie daje zdalny dostęp na roota.

Jak pisze Veo Zhang:

By having multiple exploits to use, Godless can target virtually any Android device running on Android 5.1 (Lollipop) or earlier. As of this writing, almost 90% of Android devices run on affected versions.

Wg badaczy aplikacja w różnych odmianach została zainstalowana na ok. 850 000 urządzeń globalnie, z czego na razie najwięcej w Indiach:

„Bezbożnik” czai się wg TrendMicro w wielu aplikacjach w Google Play (poza tym oczywiście w alternatywnych sklepach z aplikacjami), i niekoniecznie od razu realizuje złośliwe działania – ma jednak funkcje umożliwiające dociąganie już złośliwego kodu (przez co zapewne łatwiej prześlizgnąć się w Google Play):

Recently, we came across a new Godless variant that is made to only fetch the exploit and the payload from a remote command and control (C&C) server, hxxp://market[.]moboplay[.]com/softs[.]ashx. We believe that this routine is done so that the malware can bypass security checks done by app stores, such as Google Play.

Tego typu odmiana dodatkowo umożliwia zdalny dostęp na roota na zainfekowane urządzenie:

As for the latest variant (which remotely fetches the payload), currently, the attack installs a backdoor with root access in order to silently install apps on affected devices.

–ms