BACKDOOR-ROOTKIT PREINSTALADO EN ANDROID

Backdoor o puerta trasera esta pre-instalado en mas de 3 millones de dispositivos con Android

Casi tres millones de teléfonos Android, muchos de ellos utilizados por personas en los EE.UU., son vulnerables a los ataques de ejecución de código que se aprovechan de forma remota el control total de los dispositivos.

Hasta hace poco, la falla podría haber sido explotada por cualquier persona que se toma el tiempo para obtener dos dominios de Internet que no se han registrado a pesar de estar conectado en el firmware que introdujo la vulnerabilidad. Después de descubrir la vulnerabilidad, los investigadores de la firma de calificaciones de seguridad BitSight Tecnologías registradas las direcciones y el control de ellos para el día de hoy. Incluso ahora, el hecho de que el firmware buggy cifra las comunicaciones enviadas a un servidor ubicado en China hace que los ataques de ejecución de código posible cuando los teléfonos no utilizan software de red privada virtual cuando se conecte a puntos de acceso públicos y otras redes no seguras.

Desde BitSight y su empresa subsidiaria Anubis Redes tomaron posesión de los dos dominios preconfigurados, más de 2,8 millones de dispositivos han intentado conectarse en busca de software que puede ser ejecutado con privilegios sin restricciones "raíz", los hackers podrían haber instalado los keyloggers, software de escuchas, y otros programas maliciosos que completamente anulaban las protecciones de seguridad integradas en el sistema operativo Android. Los casi tres millones de dispositivos siguen siendo vulnerables a los llamados man-in-the-middle porque el firmware que fue desarrollado por una empresa china llamada Ragentek Grupo-Indiferente cifrar las comunicaciones envió y recibió a los teléfonos y no depende de firma de código para autenticar aplicaciones legítimas.

Sobre la base de las direcciones IP de los dispositivos de conexión, teléfonos vulnerables provienen de ubicaciones en todo el mundo, con los EE. UU. siendo el número 1 country.Set

En una entrada de blog publicada el 17 de noviembre, los investigadores de BitSight dijeron que fueron a una tienda Best Buy y comprarón un teléfono BLU Studio G y fueron capaces de realizar un ataque que explota la puerta trasera. Como resultado, fueron capaces de instalar un archivo que llamaron system_rw_test en /data/ system/, una ubicación de archivo que está reservado para aplicaciones con privilegios del sistema todopoderosos.

Mediante la observación de los teléfonos de datos enviados cuando se conecta a los dos dominios no registrados previamente, BitSight investigadores han catalogado 55 modelos de dispositivos conocidos que se ven afectados. El fabricante más afectado está basada en los Estados Unidos BLU Products, que representó aproximadamente el 26 por ciento, seguido por Infinix multinacional con 11 por ciento, Doogee con casi el 8 por ciento, y Leagoo y Xolo con un 4 por ciento cada uno. Un poco más del 47 por ciento de los teléfonos que conectan a la sima BitSight dio ninguna indicación de que era su fabricante. Una lista de los modelos específicos se puede encontrar en este documento informativo del Departamento de CERT-patrocinado Seguridad Nacional.

Las direcciones IP de los dispositivos de conexión se basaron en los países de todo el mundo, con los EE.UU. siendo el de arriba, los investigadores BitSight dijo a Ars. Actualización: Poco después de este post se puso en marcha, Joao Gouveia, otro investigador BitSight que ayudó a destapar el rootkit, dijo en un tweet que él y sus colegas están "viendo un montón de conexiones procedentes de todo tipo de sectores, incluyendo el cuidado de la salud, el gobierno y la banca."

Dado el gran número de dispositivos con conexión de fabricantes desconocidos, la lista de los dispositivos afectados es seguro para crecer en las próximas semanas. Las personas que estan técnicamente preparadas para comprobar si un teléfono es vulnerable mediante el control de su tráfico de red y en busca de conexiones salientes a los siguientes dominios, que están cableados en el firmware Ragentek: oyag[.]lhzbdvm[.]com, oyag[.]prugskh[.]net, oyag[.]prugskh[.]com

SOLUCIÓN: Las personas que se preocupan por su teléfono puede ejecutar el firmware también pueden ponerse en contacto con el fabricante. Hasta el momento, de acuerdo tanto con BitSight y el aviso del CERT, un reproductor de Blu Products ha publicado una actualización que corrige la vulnerabilidad. No está claro si se instalará de forma automática o si los usuarios deben aplicar manualmente, y los investigadores BitSight aún no han probado el parche para evaluar su eficacia. representantes BLU productos no respondió a un mensaje en busca de comentarios de esta entrada. Los usuarios afectados o que puedan resultar afectados que no tienen ni una actualización también puede protegerse mediante la conexión sólo para redes en las que confían o mediante el uso de software de VPN al conectarse a puntos de acceso y otras redes Wi-Fi no seguras.

FUNCIONALIDAD DE ROOTKIT

Poco se sabe sobre el firmware Ragentek. investigadores BitSight dicho código en el firmware se sale de su manera de ocultar la presencia del archivo binario subyacente. Por ejemplo, deliberadamente intenta seguir excluidos de la lista de procesos en ejecución devueltos por el comando Linux PS.

"En este caso, el desarrollador ha añadido una excepción cuando se itera sobre los procesos del sistema para saltar de forma explícita sobre el binario afectado (" depura "), y por lo tanto no se muestre en los resultados devueltos," dijo el investigador Dan BitSight Dahlberg Ars. "En otras palabras, los programas se modificaron para simular este binario que no existía."

Dahlberg, dijo el firmware Ragentek toma medidas similares para evadir la orden superior. A pesar del comportamiento sospechoso, los investigadores sospechan BitSight el firmware está diseñado para ofrecer legítimos actualizaciones a través del aire a los teléfonos, y creen que las capacidades de puerta trasera eran no intencional. Los intentos de llegar a Ragentek y otros fabricantes no tuvieron éxito.


Fecha actualización el 2016-11-19. Fecha publicación el 2016-11-19. Categoría: Malware. Autor: Oscar olg Mapa del sitio
Backdoor-rootkit