Versão recente possibilita a instalação remota de aplicativos maliciosos
São Paulo, julho de 2016 – A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – divulgou recentemente a existência de um malware denonimado Godless (detectado como ANDROIDOS_GODLESS.HRX) que pode comprometer praticamente qualquer dispositivo Android 5.1 (Lollipop) ou versão anterior.
A ameaça conta ainda com vários exploit kits, o que torna os dispositivos ainda mais vulneráveis. Segundo a Trend Micro, no momento, a estimativa é de que quase 90% dos aparelhos Android estão sendo executados com versões afetadas.
Com base nos dados coletados pelo Trend Micro Mobile App Reputation Service, aplicativos maliciosos relacionados à esta ameaça podem ser encontrados em lojas como o Google Play, e já afetaram mais de 850.000 aparelhos em todo o mundo.
O Godless é derivado de um exploit kit e utiliza um software para fazer root – ou seja, tornar – se um administrador do sistema e ter acesso às partes do Android que antes ficavam inacessíveis para um usuário comum -, chamado android-rooting-tools. Este framework tem em seu arsenal vários exploits que podem ser usados para erradicar dispositivos com sistema Android.
As duas vulnerabilidades mais avançadas usadas pelo exploit kit são o CVE-2015-3636 (utilizada pelo exploit PingPongRoot) e o CVE-2014-3153 (utilizada pelo exploit Towelroot). Os exploits restantes estão obsoletos e são relativamente desconhecidos, até mesmo na comunidade de segurança.
Segundo análise da Trend Micro, o malware pode receber instruções remotas sobre qual aplicativo baixar e instalar silenciosamente em dispositivos móveis. Esta variante do Godless busca remotamente uma payload – código malicioso que o malware faz o download – e instala um backdoor com acesso raiz para o download de aplicativos nos dispositivos afetados.
Dispositivos móveis afetados globalmente
Evolução do Godless
Nas versões anteriores do Godless analisadas pela Trend Micro, os aplicativos maliciosos continham um exploit binário local chamado libgodlikelib.so, que usa um código de exploit a partir do android-rooting-tools.
Quando o download desses aplicativos maliciosos é feito, o malware aguarda até o momento em que a tela do dispositivo afetado é desligada antes de seguir com a sua rotina de enraizamento.
Após concluir a primeira etapa com sucesso, o malware baixa a payload – como se fosse um aplicativo de sistema – para que não possa ser facilmente removido. A payload é um arquivo AES criptografado denominado __image.
A versão recente do Godless, foi criada para que o exploit e a payload sejam comandadas remotamente por um servidor de controle (C&C). Segundo a Trend Micro, a rotina remota pode fazer com que as verificações de segurança feitas por lojas de aplicativos, como o Google Play sejam ignoradas pelo malware.
A Trend Micro detectou versões maliciosas no Google Play correspondentes aos aplicativos já existentes e não maliciosos: foram encontrados desde apps de lanterna e Wi-Fi até jogos populares.
O risco potencial para possíveis alvos, é atualizar os aplicativos “limpos” que podem transformar-se em versões maliciosas, sem que os usuários saibam. É importante observar que a atualização de aplicativos fora do Google Play é uma violação dos termos e condições da loja.
Melhores Práticas
O enraizamento de um dispositivo móvel pode gerar vários benefícios em termos de desempenho. No entanto, quando um malware aplica tal método, o dono do aparelho pode ter seus dados seriamente prejudicados.
A Trend Micro listou abaixo algumas dicas para evitar o ciberataque por meio de malwares em dispositivos móveis:
- Sempre analisar as informações e classificações relacionadas aos aplicativos;
- Aplicativos com pouca ou nenhuma informação de fundo podem ser fontes de versões maliciosas;
- É recomendado sempre que possível fazer o download de aplicativos por meio de fontes confiáveis como Google Play ou Amazon;
- Usuários devem ter um aplicativo de segurança móvel seguro. O Trend Micro Mobile Security Personal Edition e Mobile Security Solutions detectam todas as ameaças relacionadas a este tipo de ataque.
A Trend Micro informou ao Google sobre os aplicativos mencionados e foram tomadas as medidas adequadas.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.
Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.
Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.
Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.
Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.