Nová verze malware Lena umí rootnout telefon

Společnost Lookout Mobile Security na svém blogu oznámila, že objevila novou variantu malware Legacy Native (Lena). Škodlivý kód používá metodu známou jako GingerBreak k zisku oprávnění roota, což funguje na zařízeních s Androidem 2.3.3 a nižším – samozřejmě bez nutnosti interakce s uživatelem. Malware se zatím neobjevil v žádné aplikaci na Google Play, vyskytuje se pouze na některých alternativních zdrojích (zde je vhodné podotknout, že ve výchozím nastavení je instalace z jiného zdroje než Google Play blokována). Jak jsme již v tomto roce viděli, alternativní „markety“ jsou zlatým dolem pro podezřelé aplikace, které mohou dělat skoro cokoli – od odesílání SMS zpráv na prémiová čísla, až po vzdálené ovládnutí zařízení. V souvislosti s prudkým nárůstem malware v posledních měsících Google v únoru zahájil kontrolu nahraných programů službou Bouncer, která by měla automaticky vyhledávat a odstraňovat škodlivé aplikace.

„Mezi aplikacemi, obsahujícími tento škodlivý kód, je například plně funkční kopie nedávno zveřejněné hry Angry Birds Space,“ řekl Tim Wyatt, hlavní softwarový inženýr společnosti Lookout. Autoři jistě doufají, že se svezou na vlně popularity nejnovější verze z této oblíbené série, a podaří se jim dostat kód na co nejvíce zařízení.

K infiltraci dojde, jakmile koncový uživatel nainstaluje falešnou aplikaci. Během instalace jsou do systému uloženy dva binární soubory – první zneužívá bezpečnostní skulinu využívanou metodou GingerBreak, druhý je aktualizovanou verzí malware Lena. Malware komunikuje se vzdáleným serverem, přijímá instrukce k instalaci dodatečných balíků a adresy stránek, které budou zobrazeny v prohlížeči.

Zdá se, že v tomto okamžiku se Lena C&C snaží do zařízení nainstalovat jediný balíček: com.the9.gamechannel, což je čínská alternativa softwarového repozitáře, zaměřená na hry pro Android. Balíček je nainstalován bez vědomí uživatele a následně spuštěn.

Předchozí verze Lena byla také distribuována jako falešná aplikace, ale k získání roota potřebovala souhlas uživatele. Vzhledem k závislosti na nástroji SuperUser tak bylo její šíření značně omezeno.

„Dávejte pozor na neobvyklé chování telefonu, které by naznačovalo, že je zařízení napadeno,“ řekl Wyatt. „Neobvyklé chování může zahrnovat podezřelé částky na účtu za telefon nebo SMS, nezvyklé síťové aktivity, nebo aktivitu aplikací, které se spouští, když je přístroj zamknutý.“

Lookout si, pochopitelně, přihřál svou polévku, když na závěr zprávy dodal, že všichni uživatelé, používající jejich Lookout Security & Antivirus jsou proti malwaru Lena chráněni.

Spekulace: společnost Lookout sice tuto podmínku nezmiňuje, ale lze předpokládat, že k úspěšnému rootu, kromě souhlasu s instalacemi z neznámých zdrojů, bude nezbytné mít v nastavení vývoje aplikací povolené ladění USB.

Nejlepší ochranou je opatrnost při stahování nových her a aplikací. Vždy byste měli znát jejich původ a číst před instalací veškerá požadovaná oprávnění.

Zdroje: Tom’s Guide, Android Phone Fans a Threat Post.