Rootnit Malware

1
WEBIMPRINTS Empresa de pruebas de penetración
Empresa de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
Rootnit Malware
2
Rootnik Malware

• Según Webimprints una empresa de pruebas de
  penetración se determina que es capaz de realizar
  las siguientes acciones.
• Abuso de una versión personalizada de "Root
  Assistant" para explotar vulnerabilidades Android
  incluyendo CVE-2012-4221, CVE-2013-2596,
  CVE-2013-2597, CVE-2013 hasta 6282.
• Instalar varios archivos APK en la partición del
  sistema del dispositivo comprometido para
  mantener la persistencia después de teniendo
  exitosa acceso de root.
• Instalar y desinstalar las aplicaciones del
  sistema o no del sistema y sin el conocimiento de
  los usuarios.
• Descargar archivos ejecutables desde servidores
  remotos para la ejecución local.

3
Como funciona Rootnik Malware
Según expertos de proveedor de pruebas de
penetración, el malware agresivamente promover
otras aplicaciones. Los anuncios de promoción de
la aplicación se muestran al usuario,
independientemente de la actividad actual e
incluso con pop-up en el modo de pantalla
completa cuando el usuario está visualizando en
su pantalla de inicio. Robar información WiFi
incluyendo contraseñas y claves, así como SSID y
BSSID identificadores. Recoger información
privada de las víctimas incluyendo su ubicación,
ID dispositivo y el dirección MAC del teléfono
4
Como funciona Rootnik Malware
Rootnik se distribuye por el reenvasado e
inyectando código malicioso en aplicaciones de
Android legítimas. Una vez instalado en un
dispositivo Android, Rootnik lanza un nuevo hilo
para obtener privilegios de root si se cumplen
ciertas condiciones. Mientras tanto, comienza un
procedimiento de "promoción de aplicación" que
muestra la publicidad de otras aplicaciones para
el usuario. Para obtener acceso root, Rootnik
primeras descargas payloads cifrados desde un
servidor remoto cuando no existan localmente y
luego procede a intentar explotación de uno de
los cuatro vulnerabilidades comenta Mike Stevens
profesional de empresa de seguridad informática.
5
Rootnit Malware

• Comenta Mike Stevens de empresas de seguridad
  informática
• Que estos cuatro archivos APK sirven como
  aplicaciones del sistema después de reiniciar, y
  caen principalmente en tres categorías en función
  de su funcionalidad. Sobre la investigación hasta
  el momento los nombres de archivo de estos cuatro
  archivos APK son.
•      AndroidSettings.apk
•      BluetoothProviders.apk
•      WifiProviders.apk
•      VirusSecurityHunter.apk

6
Rootnit Malware
AndroidSettings.apk es responsable de la
promoción de aplicaciones de Android y tiene una
lógica similar al procedimiento de promoción de
aplicaciones de malware anfitrión.
BluetoothProviders.apk y WifiProviders.apk
realidad realizan tareas idénticas, actúan como
un componente de control remoto que puede
instalar y desinstalar aplicaciones, así como
descargar y ejecutar código nuevo desde
servidores remotos. Después de lograr el acceso
root con éxito, el malware se escribe cuatro
archivos APK a la partición del sistema y
reinicia el dispositivo comprometido menciono
Mike Stevens de empresas de seguridad informática.
7
CONTACTO
www.webimprints.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420
• DUBAI
• 702, Smart Heights Tower, DubaiSixth Floor,
  Aggarwal Cyber Tower 1Netaji Subhash Place,
  Delhi NCR, 110034IndiaIndia Tel 91 11 4556
  6845