Malver Godless pronađen u aplikacijama u Google Play prodavnici

Mobilni telefoni, 23.06.2016, 07:00 AM

Istraživači kompanije Trend Micro upozorili su na malver nazvan ANDROIDOS_GODLESS.HXR koji inficira Android smart telefone i tablete.

Malver se širi na različite načine i iz različitih izvora, uključujući i Google Play Store, zvaničnu Googleovu prodavnicu aplikacija koja se uglavnom smatra bezbednom za preuzimanje aplikacija.

Godless se nalazi unutar različitih aplikacija, i kada mu se omogući pokretanje, on će preuzeti android-rooting-tools framework sa GitHuba, kolekciju open-source ili procurelih exploita za rootovanje Android uređaja.

Istraživači su analizirali izvorni kod malvera i zaključili da Godless može da rootuje skoro sve verzije Androida, počev od Android Lollipopa (5.1) i starijih verzija. Teoretski, Godless može da rootuje 90% svih Android uređaja koji su trenutno u upotrebi.

Najmoćniji rooting exploiti koje su istraživači pronašli u kolekciji hakerskih alata Godless uključuju CVE-2015-3636 (PingPongRoot exploit) i CVE-2014-3153 (Towelroot exploit).

Kada se aplikacija inficirana malverom Godless pokrene i pošto se završi preuzimanje rooting exploita, malver će najpre sačekati da se ekran isključi i tek onda će se izvršiti maliciozni kod.

Kada Godless dobije administratorske privilegije, on će započeti komunikaciju sa C&C serverom, od koga će dobiti spisak aplikacija koje treba instalirati na rootovanom uređaju.

U prethodnim verzijama malvera koje su primećene pre nekoliko meseci, Godless je korišćen za preuzimanje kopije Google Play Store aplikacije, koja je korišćena za prikupljanje korisničkih imena i lozinki Google naloga korisnika inficiranih uređaja.

Sa tim podacima, Godless je mogao da preuzima i instalira druge aplikacije koristeći legitimnu aplikaciju Google Play Store.

Istraživači procenjuju da je do sada ovim malverom inficirano najmanje 850000 žrtava širom sveta. Većina žrtava je iz Indije (46,19%), Indonezije (10,27%) i sa Tajlanda (9,47%).