A Trend Micro divulgou a existência de um malware denonimado Godless (detectado como ANDROIDOS_GODLESS.HRX) que pode comprometer praticamente qualquer dispositivo Android 5.1 (Lollipop) ou versão anterior. A ameaça conta ainda com vários exploit kits, o que torna os dispositivos ainda mais vulneráveis. Segundo a empresa, no momento, a estimativa é de que quase 90% dos aparelhos Android estão sendo executados com versões afetadas.
Com base nos dados coletados pelo Trend Micro Mobile App Reputation Service, aplicativos maliciosos relacionados a esta ameaça podem ser encontrados em lojas como o Google Play, e já afetaram mais de 850.000 aparelhos em todo o mundo.
O Godless é derivado de um exploit kit e utiliza um software para fazer root – ou seja, tornar – se um administrador do sistema e ter acesso às partes do Android que antes ficavam inacessíveis para um usuário comum -, chamado android-rooting-tools. Este framework tem em seu arsenal vários exploits que podem ser usados para erradicar dispositivos com sistema Android.
As duas vulnerabilidades mais avançadas usadas pelo exploit kit são o CVE-2015-3636 (utilizada pelo exploit PingPongRoot) e o CVE-2014-3153 (utilizada pelo exploit Towelroot). Os exploits restantes estão obsoletos e são relativamente desconhecidos, até mesmo na comunidade de segurança.
Segundo análise da Trend Micro, o malware pode receber instruções remotas sobre qual aplicativo baixar e instalar silenciosamente em dispositivos móveis. Esta variante do Godless busca remotamente uma payload – código malicioso que o malware faz o download – e instala um backdoor com acesso raiz para o download de aplicativos nos dispositivos afetados.
Evolução do Godless
Nas versões anteriores do Godless analisadas pela Trend Micro, os aplicativos maliciosos continham um exploit binário local chamado libgodlikelib.so, que usa um código de exploit a partir do android-rooting-tools.
Quando o download desses aplicativos maliciosos é feito, o malware aguarda até o momento em que a tela do dispositivo afetado é desligada antes de seguir com a sua rotina de enraizamento.
Após concluir a primeira etapa com sucesso, o malware baixa a payload – como se fosse um aplicativo de sistema – para que não possa ser facilmente removido. A payload é um arquivo AES criptografado denominado __image.
A versão recente do Godless, foi criada para que o exploit e a payload sejam comandadas remotamente por um servidor de controle (C&C). Segundo a Trend Micro, a rotina remota pode fazer com que as verificações de segurança feitas por lojas de aplicativos, como o Google Play sejam ignoradas pelo malware.
A Trend Micro detectou versões maliciosas no Google Play correspondentes aos aplicativos já existentes e não maliciosos: foram encontrados desde apps de lanterna e Wi-Fi até jogos populares.
O risco potencial para possíveis alvos, é atualizar os aplicativos "limpos" que podem transformar-se em versões maliciosas, sem que os usuários saibam. É importante observar que a atualização de aplicativos fora do Google Play é uma violação dos termos e condições da loja.
