Nový malware Godless je nebezpečný pro 90 % telefonů s Androidem

Nový malware Godless útočí na chytré telefony s operačním systémem Android – uvedli to bezpečnostní experti ze společnosti Trend Micro na oficiálním blogu. Škodlivý kód byl obsažen v aplikacích, které bylo možné stáhnout z Google Play, jakož i z dalších zdrojů software. Odborníci tvrdí, že škodlivý kód představuje nebezpečí pro zařízení s Androidem ve verzi 5.1 a starším, což by s ohledem na květnová čísla znamenalo ohrožení 90 % telefonů a tabletů. Dle oficiálních čísel již bylo infikováno 850 tisíc zařízení po celém světě. Nejvíce zasažených telefonů a tabletů je hlášeno z Indie, Indonésie a Thajska. Malware Godless může být součástí různých aplikací – od klonů populárních her, přes svítilny a „tunery“ Wi-Fi. Trend Micro konkrétně jmenovalo jen jednu z infikovaných aplikací: Summer Flashlight, kterou si dle statistik stáhlo a nainstalovalo více než tisíc uživatelů. Zmíněný program však již v Obchodě Play nenajdete.

Jak Godless funguje?

Škodlivý software nejprve získá oprávnění roota (používá přitom několik různých metod) a následně se jeho chování podobá trojským koním. Umožňuje útočníkům vzdáleně špehovat uživatele, krást data a instalovat další software. Poslední modifikace údajně umí obejít bezpečnostní kontroly Obchodu Play. Analytik Veo Zhang konkrétně uvedl: „Godless připomíná nástroje typu „exploit kit,“ které jsou používány pro rootování. Ve svém arsenálu má několik způsobů, jak dosáhnout kýženého cíle. Využívá bezpečnostních nedostatků CVE-2015-3636 (používaný například nástrojem PingPongRoot) a CVE-2014-3153 (používaný utilitou Towelroot). Ostatní používané metody jsou zastaralé a málo známé i v bezpečnostní komunitě. Po získání nejvyšších oprávnění může malware na dálku přijímat instrukce o tom, jaké další aplikace má stáhnout a bez vědomí uživatele nainstalovat. Nežádoucí aplikace pak mohou zobrazovat například otravnou reklamu. Ještě horší je, že tyto hrozby mohou být také použity k instalaci „zadních vrátek“ („backdoor“) a špehování uživatele.“

Od prvních verzí do současnosti

První aplikace s malwarem Godless ukládaly na infikovaném zařízení binární soubor s názvem libgodlikelib.so. Jakmile je aplikace nainstalována, čeká na zhasnutí displeje přístroje a poté pokračuje v pokusech o rootnutí. V případě úspěchu pak nainstaluje aplikaci s nejvyššími právy, takže ji nelze snadno odstranit. Jedna z dřívějších verzí dále instalovala systémovou aplikaci ve formě zašifrovaného souboru s názvem _image, která mimo jiné implementovala klienta Obchodu Play, jež automaticky stahoval a instaloval programy. Tento klient mimo to uměl udělovat hodnocení aplikacím, čímž podvodným způsobem vylepšoval jejich známku. Novější varianty stahují nástroje pro rootnutí ze serveru moboplay.com, což je pro útočníky výhodnější, neboť nemusí řešit překonávání ochrany Obchodu Play a ostatních repozitářů. Bezpečností experti také uvedli, že se setkali s větším množstvím škodlivých aplikací, které sdílejí stejný certifikát vývojáře. „Existuje tak potenciální riziko, že uživatelé aktualizují neškodlivé programy na jejich škodlivé verze.“ Godless je tak aktuálně nejnovějším malwarem, který využívá chyby v systému k získání práv roota. Loni v listopadu výzkumníci objevili skupinu čítající více než dvacet tisíc aplikací typu trojan, které taktéž používaly známé exploity k získání práv roota.

Máme se bát rootování?

Exploity nejsou automaticky škodlivé. Uživatelé je často záměrně používají k rozšíření možností svých zařízení nebo obcházení omezení nastavených výrobcem. Protože aplikace s právy roota má schopnost obejít klíčové ochrany systému, je vhodné něco takového dělat teprve po důkladné prověrce konkrétní aplikace, kterou rootnutí provedete. Standardně platí, že by se uživatelé měli vyhnout alternativním zdrojům s aplikacemi třetích stran. Dokonce i při stahování z Obchodu Play je doporučeno neinstalovat aplikace od neznámých vývojářů. Tématu rootování jsme se podrobně věnovali ve včerejším článku Root: jak funguje, co znamená a k čemu je dobrý? Zdroje: hi-tech.mail.ru, arstechnica.com, phonearena.com, phandroid.com, blog.trendmicro.com.