El malware Rootnik explota vulnerabilidades en dispositivos Android para obtener acceso de root, instalar aplicaciones maliciosas y robar información privada del usuario. Utiliza un proceso de promoción de aplicaciones que muestra anuncios intrusivos, incluso cuando el usuario está en pantalla completa. Rootnik se distribuye mediante el reenvasado de aplicaciones legítimas con código malicioso y puede descargar archivos ejecutables de servidores remotos.

1. WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Rootnit Malware

2. Rootnik Malware
Según Webimprints una empresa de pruebas de
penetración se determina que es capaz de realizar
las siguientes acciones.
•Abuso de una versión personalizada de "Root Assistant" para
explotar vulnerabilidades Android incluyendo CVE-2012-4221,
CVE-2013-2596, CVE-2013-2597, CVE-2013 hasta 6282.
•Instalar varios archivos APK en la partición del sistema del
dispositivo comprometido para mantener la persistencia
después de teniendo exitosa acceso de root.
•Instalar y desinstalar las aplicaciones del sistema o no del
sistema y sin el conocimiento de los usuarios.
•Descargar archivos ejecutables desde servidores remotos para
la ejecución local.

3. Según expertos de proveedor de pruebas de
penetración, el malware agresivamente promover
otras aplicaciones. Los anuncios de promoción de
la aplicación se muestran al usuario,
independientemente de la actividad actual e
incluso con pop-up en el modo de pantalla
completa cuando el usuario está visualizando en
su pantalla de inicio.
Robar información WiFi incluyendo contraseñas y
claves, así como SSID y BSSID identificadores.
Recoger información privada de las víctimas
incluyendo su ubicación, ID dispositivo y el
dirección MAC del teléfono
Como funciona Rootnik Malware

4. Rootnik se distribuye por el reenvasado e
inyectando código malicioso en aplicaciones de
Android legítimas. Una vez instalado en un
dispositivo Android, Rootnik lanza un nuevo hilo
para obtener privilegios de root si se cumplen
ciertas condiciones. Mientras tanto, comienza un
procedimiento de "promoción de aplicación" que
muestra la publicidad de otras aplicaciones para el
usuario. Para obtener acceso root, Rootnik primeras
descargas payloads cifrados desde un servidor
remoto cuando no existan localmente y luego
procede a intentar explotación de uno de los
cuatro vulnerabilidades comenta Mike Stevens
profesional de empresa de seguridad informática.
Como funciona Rootnik Malware

5. Comenta Mike Stevens de empresas de seguridad
informática
Que estos cuatro archivos APK sirven como
aplicaciones del sistema después de reiniciar, y
caen principalmente en tres categorías en función
de su funcionalidad. Sobre la investigación hasta el
momento los nombres de archivo de estos cuatro
archivos APK son.
• AndroidSettings.apk
• BluetoothProviders.apk
• WifiProviders.apk
• VirusSecurityHunter.apk
Rootnit Malware

6. AndroidSettings.apk es responsable de la
promoción de aplicaciones de Android y tiene una
lógica similar al procedimiento de promoción de
aplicaciones de malware anfitrión.
BluetoothProviders.apk y WifiProviders.apk realidad
realizan tareas idénticas, actúan como un
componente de control remoto que puede instalar
y desinstalar aplicaciones, así como descargar y
ejecutar código nuevo desde servidores remotos.
Después de lograr el acceso root con éxito, el
malware se escribe cuatro archivos APK a la
partición del sistema y reinicia el dispositivo
comprometido menciono Mike Stevens de
empresas de seguridad informática.
Rootnit Malware

7. CONTACTO www.webimprints.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845