Το Godless, ανιχνεύθηκε από την Trend Micro ως ANDROIDOS_GODLESS.HRX, είναι μια malware οικογένεια που επηρεάζει τα Android smartphones και tablets που αξιοποιεί rooting exploits για να κλιμακώσει την πρόσβασή του στη συσκευή διαχειριστή.
Η Trend Micro λέει ότι η εφαρμογή διανέμεται μέσω διαφορετικών μεθόδων και από πολλαπλές τοποθεσίες, ακόμη και μέσω του Play Store της Google, που συνήθως θεωρείται μια ασφαλής επιλογή για τη λήψη εφαρμογών.
Το Godless βρίσκεται μέσα σε διάφορες εφαρμογές και όταν του επιτραπεί να εκτελεστεί, θα κατεβάσει το the android-rooting-tools πρότζεκτ από το GitHub, το οποίο είναι μια συλλογή από open-source ή από exploits που έχουν διαρρεύσει για να rootάρουν Αndroid συσκευές.
Με βάση τον πηγαίο κώδικα που ανέλυσε, η Trend Micro λέει ότι το Godless μπορεί να rootάρει όλες τις Αndroid εκδόσεις, ξεκινώντας με το Αndroid Lollipop (5.1) και πίσω. Με βάση το portfolio των rooting exploits που διαθέτει, το Godless θα μπορούσε θεωρητικά να rootάρει το 90 τοις εκατό όλων των Αndroid συσκευών που κυκλοφορούν σήμερα.
Τα πιο ισχυρά rooting exploits που βρίσκονται στη συλλογή των hacking εργαλείων του Godless περιλαμβάνουν τα CVE-2015-3636 (PingPongRoot exploit) και CVE-2014 – 3153 (Towelroot exploit).
Όταν το Godless μολυνθεί τρέχει εφαρμογές και μετά τελειώνει κατεβάζοντας τα rooting exploits, το κακόβουλο λογισμικό θα βεβαιωθεί ότι η οθόνη του χρήστη είναι απενεργοποιημένη και στη συνέχεια θα εκτελέσει τον κακόβουλο κώδικα.
Μετά το Goodless αποκτά root δικαιώματα, αρχίζει να επικοινωνεί με έναν C&C εξυπηρετητή, από όπου παίρνει μια λίστα εφαρμογών για να εγκαταστήσει στην rootαρισμένη συσκευή.
Σε προηγούμενες εκδόσεις του malware που παρατηρήθηκαν λίγους μήνες νωρίτερα, οι Trend Micro ερευνητές λένε ότι το Goodless χρησιμοποιήθηκε να κατεβάζει έναν κλώνο της επίσημης εφαρμογής Google Play Store, ο οποίος θα χρησιμοποιούνταν για να συλλέξει τα Google διαπιστευτήρια του χρήστη.
Με αυτά τα διαπιστευτήρια στο χέρι, το Goodless στη συνέχεια θα κατέβαζε και θα εγκαθιστούσε άλλες εφαρμογές που χρησιμοποιούν τη επίσημη εφαρμογή Play Store της Google.
Η εταιρεία ασφαλείας εκτιμά ότι το Goodless έχει τουλάχιστον 850.000 θύματα σε όλο τον κόσμο. Με βάση το παρακάτω γραφικό, οι περισσότεροι χρήστες βρίσκονται στην Ινδία (46,19 τοις εκατό), ακολουθούμενοι από την Ινδονησία (10,27 τοις εκατό) και την Ταϊλάνδη (9,47 τοις εκατό).
Κατά την έναρξη του Μαΐου, η Bitdefender ανακάλυψε ένα παρόμοιο κακόβουλο λογισμικό Android που χρησιμοποιείται, επίσης, για rooting exploits.
