Ho letto un po 'negli ultimi giorni su HummingBad , un virus Android che tenta di ottenere l'accesso come root. Sembra che usi l'accesso root per visualizzare annunci e installare app. Le stime variano tra 10 e 80 milioni di dispositivi interessati. Apparentemente i criminali dietro questo virus stanno guadagnando milioni di dollari all'anno da questi annunci.
Apparentemente questo malware funziona ottenendo l'accesso come root. (Oppure può ancora causare danni anche se non riesce a ottenere la radice?)
Se dovessi indovinare, assumerei che il processo fosse qualcosa del genere:
- HummingBad viene inserito in una app apparentemente innocua (gioco, ecc.) installata inconsapevolmente dall'utente da qualche parte.
- Quando l'utente esegue l'app, l'app cerca immediatamente di fare qualcosa di simile a quello di applicazioni white-hat come KingoRoot e Towelroot fare, cercando di eseguire il root del dispositivo senza la necessità di un computer esterno. Tuttavia, invece di installare Super SU e fornire all'utente il controllo dell'accesso root, il controllo passa a un server remoto controllato dai criminali, con l'obiettivo che il proprietario del dispositivo non si renderà conto di cosa è successo.
- I criminali continuano a utilizzare l'accesso root per quello che vogliono (visualizzare gli annunci per le entrate, installare app, mining criptovaluta, nodo botnet, diffondere ulteriormente il virus, ecc.)
- Profit.
Le mie supposizioni sono corrette? In particolare per quanto riguarda il punto 2. È una specie di versione black hat di Towelroot / KingoRoot?