Для платформы Android продемонстрирован прототип руткита

2 августа 2010 года

Эксперты из подразделения Spider Labs (Архивная копия от 7 октября 2011 на Wayback Machine) компании Trustwave продемонстрировали на конференции DefCon работающий на уровне Linux-ядра прототип руткита для телефонов на базе платформы Android. Руткит выполнен в виде модуля ядра, требует для своей установки наличия root-привилегий и разработан в соответствии со стандартными принципами написания Linux-руткитов. Интерес представляет способ активации руткита на телефоне: после получения звонка с заранее определенного телефонного номера, руткит инициирует со своей стороны TCP соединение к заданному хосту злоумышленника, используя для организации канал связи GPRS/3G/WIFI и предоставляя полный shell-доступ к устройству. Код руктита в сети пока недоступен, но он был включен в состав DVD-диска, распространенного среди участников конференции.

Использование подобных руткитов представляет такие угрозы как возможность чтения злоумышленниками SMS сообщений, скрытое совершение за счет жертвы дорогих телефонных звонков, трекинг перемещения владельца телефона по GPS или ближайшим базовым станциям. Тем не менее, установка руткита представляет определенные трудности, для загрузки модуля Linux-ядра требуется root-доступ, получение которого на Android телефонах достаточно нетривиальная операция (Архивная копия от 1 февраля 2020 на Wayback Machine), существенно отличающаяся для разных моделей телефонов, - поставки в комплекте с троянской пользовательской программой для инициализации руткита недостаточно.

В качестве возможного пути распространения руткита называется внедрение с использованием неисправленных критических уязвимостей вкупе с методами социальной инженерии, направленными на широкое распространение троянской программы через каталог Android Market. В качестве наиболее эффективного метода защиты от подобного вида руткитов разработчики прототипа советуют производителям организовать загрузку модулей ядра с проверкой их валидности по цифровой подписи.

Представленный на конференции DefCon код не является первым руткитом для телефонов на базе Linux, ранее похожий rootkit был продемонстрирован для другого основанного на Linux телефона Neo FreeRunner. Руткит был способен не только предоставлять доступ в shell, но и выполнять функции прослушивающего устройства, скрыто от владельца аппарата включающего микрофон и инициирующего звонок по заданному телефонному номеру (прослушивание производится в рамках скрытого сеанса связи).

Тем временем популярность платформы Android продолжает расти невиданными темпами, по данным (Архивная копия от 20 января 2022 на Wayback Machine) занимающейся исследованием рынка фирмы Canalys во втором квартале 2010 года число проданных телефонов на базе платформы Android выросло на 886%, по сравнению со вторым кварталом прошлого года. На территории США Android завоевал 34% рынка смартфонов. Отмечается также рост числа приложений для данной платформы: число программ, представленных в каталоге Android Market превысило отметку в 70 тысяч приложений (в марте было 30 тыс., а в декабре прошлого года - 16 тыс.). Объемы продаж телефонов на базе Android демонстрируют небывалые темпы роста, в мае ежедневно активировалось около 100 тыс. телефонов, а уже в июне число активаций возросло до 160 тыс. аппаратов в день.