A Trend Micro divulgou recentemente a existência de um malware denonimado Godless (detectado como ANDROIDOS_GODLESS.HRX) que pode comprometer praticamente qualquer dispositivo Android 5.1 (Lollipop) ou versão anterior.

A ameaça conta ainda com vários exploit kits, o que torna os dispositivos ainda mais vulneráveis. Segundo a Trend Micro, no momento, a estimativa é de que quase 90% dos aparelhos Android estão sendo executados com versões afetadas.

Com base nos dados coletados pelo Trend Micro Mobile App Reputation Service, aplicativos maliciosos relacionados à esta ameaça podem ser encontrados em lojas como o Google Play, e já afetaram mais de 850.000 aparelhos em todo o mundo.

O Godless é derivado de um exploit kit e utiliza um software para fazer root – ou seja, tornar – se um administrador do sistema e ter acesso às partes do Android que antes ficavam inacessíveis para um usuário comum –, chamado android-rooting-tools. Este framework tem em seu arsenal vários exploits que podem ser usados para erradicar dispositivos com sistema Android.

As duas vulnerabilidades mais avançadas usadas pelo exploit kit são o CVE-2015-3636 (utilizada pelo exploit PingPongRoot) e o CVE-2014-3153 (utilizada pelo exploit Towelroot).  Os exploits restantes estão obsoletos e são relativamente desconhecidos, até mesmo na comunidade de segurança.

Segundo análise da Trend Micro, o malware pode receber instruções remotas sobre qual aplicativo baixar e instalar silenciosamente em dispositivos móveis. Esta variante do Godless busca remotamente uma payload – código malicioso que o malware faz o download -, e instala um backdoor com acesso raiz para o download de aplicativos nos dispositivos afetados.

Dispositivos móveis afetados globalmente

A figura 1 mostra a distribuição global dos dispositivos afetados

Evolução do Godless

Nas versões anteriores do Godless analisadas pela Trend Micro, os aplicativos maliciosos continham um exploit binário local chamado libgodlikelib.so, que usa um código de exploit a partir do android-rooting-tools.

Quando o download desses aplicativos maliciosos é feito, o malware aguarda até o momento em que a tela do dispositivo afetado é desligada antes de seguir com a sua rotina de enraizamento.

Após concluir a primeira etapa com sucesso, o malware baixa a payload – como se fosse um aplicativo de sistema, para que não possa ser facilmente removido. A payload é um arquivo AES criptografado denominado __image.

A versão recente do Godless, foi criada para que o exploit e a payload sejam comandadas remotamente por um servidor de controle (C&C). Segundo a Trend Micro, a rotina remota pode fazer com que as verificações de segurança feitas por lojas de aplicativos, como o Google Play sejam ignoradas pelo malware.

A Trend Micro detectou versões maliciosas no Google Play correspondentes aos aplicativos já existentes e não maliciosos: foram encontrados desde apps de lanterna e Wi-Fi até jogos populares.

O risco potencial para possíveis alvos, é atualizar os aplicativos “limpos” que podem transformar-se em versões maliciosas, sem que os usuários saibam. É importante observar que a atualização de aplicativos fora do Google Play é uma violação dos termos e condições da loja.

Melhores Práticas

O enraizamento de um dispositivo móvel pode gerar vários benefícios em termos de desempenho. No entanto, quando um malware aplica tal método, o dono do aparelho pode ter seus dados seriamente prejudicados.

A Trend Micro listou abaixo algumas dicas para evitar o ciberataque por meio de malwares em dispositivos móveis:

• Sempre analisar as informações e classificações relacionadas aos aplicativos;
• Aplicativos com pouca ou nenhuma informação de fundo podem ser fontes de versões maliciosas;
• É recomendado sempre que possível fazer o download de aplicativos por meio de fontes confiáveis como Google Play ou Amazon;
• Usuários devem ter um aplicativo de segurança móvel seguro. O Trend Micro Mobile Security Personal Edition e Mobile Security Solutions detectam todas as ameaças relacionadas a este tipo de ataque.

A Trend Micro informou ao Google sobre os aplicativos mencionados e foram tomadas as medidas adequadas.