Una versión recientemente identificado del malware para Android Rootnik cuenta con capacidades anti-depuración y anti-enganche segun la empresa de seguridad de Fortinet
Descubierto a finales de 2015, el troyano Rootnik se basa en la raíz de código abierto que explotar las herramientas para obtener acceso no autorizado a los dispositivos de los usuarios, permitiendo a un grupo de comportamientos no deseados. De acuerdo con un Fortinet en una entrada de su blog, esta última variante instala una aplicación de servicio de control remoto oculto capaz de promover las aplicaciones y los anuncios, en silencio la instalación de aplicaciones, empujando las notificaciones y la pornografía, la creación de accesos directos a programas no deseados o contenido en la pantalla principal, y la descarga de archivos adicionales que también puede ofrecer la funcionalidad maliciosa.
El malware también puede recopilar información de un dispositivo, incluyendo su IMEI (International Mobile Equipment Identity), código de país ISO, versión de compilación de Android y el tipo de modelo. Debido a las vulnerabilidades específicas que utiliza Rootnik, más viejos dispositivos Android con conjuntos de chips MediaTek (MTK) o sistemas en los chips Exynos de Samsung son especialmente propensos, segun Fortinet a los medios de comunicación.
Los usuarios están infectadas con Rootnik sobre la descarga de un programa malicioso que se disfraza como una aplicación legítima "archivo ayudante" que supuestamente maneja archivos y otros recursos que se encuentran en uno de los dispositivos. "En general, este tipo de malware para Android se puede dispersar por algunos mercados de aplicaciones para Android de terceros que no tienen una estricta censura, o por algunos sitios web maliciosos", segun Kai Lu, analista de Fortinet.
Pero es el uso de tecnicas de Rootnik anti-depuración y anti-enganche en el código de la capa nativa que realmente hace que esta iteración se destaca de sus predecesores.
Para empezar, el malware está diseñado para detectar ciertos marcos de ganchos populares que los analistas del sombrero blanco y podrían utilizar en el curso de sus investigaciones. El enganchar implica una serie de técnicas destinadas a cambiar el comportamiento de un software, a menudo con fines de depuración, y los marcos de ganchos se usan comúnmente para estudiar el comportamiento de un malware. Tras la detección de estos marcos, incluyendo Xposed, sustrato, ADBI, ddi y dexposed, Rootnik mata el proceso.
El malware Rootnik también aprovecha un complejo multi-ptrace proceso para implementar la funcionalidad anti-depuración. Y, por último, que utiliza inotify, un subsistema del kernel de Linux diseñada para observar y reportar cambios a las aplicaciones, para supervisar la memoria y el montón de página del proceso principal. Si inotify atrapa a un usuario que intenta depurar el programa de forma dinámica, de anulación de ese intento mediante la activación de un volcado de memoria incompleta.
