Menu

Nová verze malware Lena umí rootnout telefon

malware_sa

Společnost Lookout Mobile Security na svém blogu oznámila, že objevila novou variantu malware Legacy Native (Lena). Škodlivý kód používá metodu známou jako GingerBreak k zisku oprávnění roota, což funguje na zařízeních s Androidem 2.3.3 a nižším – samozřejmě bez nutnosti interakce s uživatelem. Malware se zatím neobjevil v žádné aplikaci na Google Play, vyskytuje se pouze na některých alternativních zdrojích (zde je vhodné podotknout, že ve výchozím nastavení je instalace z jiného zdroje než Google Play blokována). Jak jsme již v tomto roce viděli, alternativní “markety” jsou zlatým dolem pro podezřelé aplikace, které mohou dělat skoro cokoli – od odesílání SMS zpráv na prémiová čísla, až po vzdálené ovládnutí zařízení. V souvislosti s prudkým nárůstem malware v posledních měsících Google v únoru zahájil kontrolu nahraných programů službou Bouncer, která by měla automaticky vyhledávat a odstraňovat škodlivé aplikace.

“Mezi aplikacemi, obsahujícími tento škodlivý kód, je například plně funkční kopie nedávno zveřejněné hry Angry Birds Space,” řekl Tim Wyatt, hlavní softwarový inženýr společnosti Lookout. Autoři jistě doufají, že se svezou na vlně popularity nejnovější verze z této oblíbené série, a podaří se jim dostat kód na co nejvíce zařízení.

K infiltraci dojde, jakmile koncový uživatel nainstaluje falešnou aplikaci. Během instalace jsou do systému uloženy dva binární soubory – první zneužívá bezpečnostní skulinu využívanou metodou GingerBreak, druhý je aktualizovanou verzí malware Lena. Malware komunikuje se vzdáleným serverem, přijímá instrukce k instalaci dodatečných balíků a adresy stránek, které budou zobrazeny v prohlížeči.

Zdá se, že v tomto okamžiku se Lena C&C snaží do zařízení nainstalovat jediný balíček: com.the9.gamechannel, což je čínská alternativa softwarového repozitáře, zaměřená na hry pro Android. Balíček je nainstalován bez vědomí uživatele a následně spuštěn.

Předchozí verze Lena byla také distribuována jako falešná aplikace, ale k získání roota potřebovala souhlas uživatele. Vzhledem k závislosti na nástroji SuperUser tak bylo její šíření značně omezeno.

“Dávejte pozor na neobvyklé chování telefonu, které by naznačovalo, že je zařízení napadeno,” řekl Wyatt. “Neobvyklé chování může zahrnovat podezřelé částky na účtu za telefon nebo SMS, nezvyklé síťové aktivity, nebo aktivitu aplikací, které se spouští, když je přístroj zamknutý.”

Lookout si, pochopitelně, přihřál svou polévku, když na závěr zprávy dodal, že všichni uživatelé, používající jejich Lookout Security & Antivirus jsou proti malwaru Lena chráněni.

Spekulace: společnost Lookout sice tuto podmínku nezmiňuje, ale lze předpokládat, že k úspěšnému rootu, kromě souhlasu s instalacemi z neznámých zdrojů, bude nezbytné mít v nastavení vývoje aplikací povolené ladění USB.

Nejlepší ochranou je opatrnost při stahování nových her a aplikací. Vždy byste měli znát jejich původ a číst před instalací veškerá požadovaná oprávnění.

Zdroje: Tom’s Guide, Android Phone Fans a Threat Post.

Komentáře

Libb76

Libb76

10.4.2012 9:14

Počkat – Lena umí rootnout telefon nebo “jen” získat práva root na už rootnutém telefonu, tzn. obejít SuperUser?

Ondra

Ondra

10.4.2012 10:31

Umí rootnout telefon.
GingerBreak je binární soubor který využívá chybu v kernelu Linuxu, která umožňuje získání práv root.
Mimochodem, GingerBreak funguje i na verzi 4.0.3, výšší verze už by měly být opravené.

Karelk

Karel Kiliánexternista -1

10.4.2012 10:56

To: Libb76
No, záleží na úhlu pohledu. Původní zdroj Threat Post má v titulku “New Android Malware Variant Can Remotely Root Phone.” V textu pak “exploit to gain root permission on Android phones.”
Bohužel zcela přesně to, zda jde o “permanentní root,” ani jeden z odkazovaných serverů neuvádí.

Karelk

Karel Kiliánexternista -1

10.4.2012 10:56

To: Ondra
Díky moc za upřesnění!

Libb76

Libb76

10.4.2012 12:43

To by chtělo zjistit. Pak už by stačilo, aby aspoň jedna aplikace na Google Play byla aspoň chvilku infikovaná a můžeme se bránit neuznáním reklamace z důvodu rootu :)

David

David

11.4.2012 7:39

Jesteze mam 4.0.4 a aplikace stahuju jen z Marketu a obcas z xda. Je znat, ze Android je oblibena platforma. Konecne jsme se dockali doby, kdy je Android zajimavy pro vyvojare malwaru a warez je zavirovany.
Nastesti existuje obrana – nestahovat warez a pouzivat mozek:-)

RSS (komentáře k článku)