Ειδικοί σε θέματα ασφάλειας από την Lookout έχουν εντοπίσει μια εφαρμογή στο Google Play Store, με το όνομα LevelDropper, που κρύβει malware και είναι σε θέση να rootάρει τη συσκευή του χρήστη, ώστε να εγκαταστήσει ανεπιθύμητες εφαρμογές.
Το όνομα της εφαρμογής είναι LevelDropper και είναι μια ψηφιακή έκδοση ενός κοινού εργαλείου που υπάρχει στις ιστοσελίδες υπό κατασκευή και στο toolkit ενός τεχνίτη.
Το πρόβλημα είναι ότι, όταν οι χρήστες εγκαταστήσουν αυτήν την εφαρμογή, μπορεί να παρατηρήσουν ένα κενό αναδυόμενο παράθυρο να εμφανίζεται στο LocationServices.
Σύμφωνα με τους ειδικούς της Lookout, αυτό είναι σαν μια κόκκινη σημαία, μιας και είναι ένα σημάδι ότι μια Android OS υπηρεσία έχει μόλις κρασάρει. Αυτού του είδους τα κρασαρίσματα είναι το πώς τα exploits εκδηλώνονται.
Στο παρασκήνιο, το κακόβουλο λογισμικό που είναι κρυμμένο στον LevelDropper κώδικα ξεκινά την εκτέλεση κακόβουλου κώδικα και εκμεταλλεύεται το κρασάρισμα για να κλιμακώσει την πρόσβασή του προς τον root χρήστη.
Μετά την ανάλυση ολόκληρου του κώδικα της εφαρμογής, οι Lookout ερευνητές λένε ότι η εφαρμογή δεν διαθέτει καμία νέα rooting λειτουργία, αλλά εκμεταλλεύεται τα rooting exploits που είναι ήδη διαθέσιμα.
Κανονικά, αυτοί οι τύποι exploits θα έπρεπε να είχαν ανιχνευθεί από το Bouncer της Google, ένα σύστημα ασφαλείας που χρησιμοποιείται για να ανιχνεύσει τις εφαρμογές πριν να προστεθούν στο Play Store.
Το Lookout λέει ότι, 30 λεπτά μετά την εγκατάσταση του LevelDropper, η εφαρμογή είχε ήδη κατεβάσει και εγκαταστήσει 14 εφαρμογές και όλες αυτές χωρίς την αλληλεπίδραση του χρήστη.
Αναλύοντας το σύστημα αρχείων του μολυσμένου τηλεφώνου, ο ερευνητής απέτυχε να βρει τον συνήθη απόηχο που μείνει πίσω από τα περισσότερα rooting exploits, δηλαδή οι απατεώνες προσπάθησαν ιδιαιτέρως για να κρύψουν τις ενέργειές τους.
Εκτός από το privilege escalation rooting exploit, οι ερευνητές ισχυρίζονται ότι βρήκαν και δύο privilege escalation exploits και υποστήριξη αρχείων πακέτων, όπως τα SuperSU, busybox και supolicy. Αυτά τα δύο επιπλέον privilege escalation exploits είχαν επίσης τη δυνατότητα να rootάρουν τη συσκευή.
Μόλις την περασμένη εβδομάδα, οι ερευνητές ασφαλείας της Trend Micro βρήκαν το Godless malware, το οποίο χρησιμοποιούσε επίσης rooting exploits για να rootάρει τις Android συσκευές και αργότερα εγκαθιστούσε adware και ανεπιθύμητες εφαρμογές. Η συλλογή των Godless rooting exploits το κατέστησε δυνατό έναντι το 90 τοις εκατό όλων των Android τηλεφώνων στην αγορά σήμερα.
