Mais de 850 mil dispositivos Android são infectados com malware Godless

Mais de 850 mil dispositivos Android foram infectados com o malware conhecido pelo nome de Godless. De acordo com a Trend Micro, a ameaça pode comprometer praticamente qualquer dispositivo Android 5.1 (Lollipop) ou versão anterior – um número preocupante, considerando que a estimativa é de que quase 90% dos aparelhos Android estão sendo executados com versões vulneráveis.

Com base nos dados coletados pelo Trend Micro Mobile App Reputation Service, aplicativos maliciosos relacionados à ameaça podem ser encontrados em lojas como o Google Play.

O Godless é derivado de um exploit kit e utiliza um software para fazer root – ou seja, tornar – se um administrador do sistema e ter acesso às partes do Android que antes ficavam inacessíveis para um usuário comum -, chamado android-rooting-tools. Este framework tem em seu arsenal vários exploits que podem ser usados para erradicar dispositivos com sistema Android.

As duas vulnerabilidades mais avançadas usadas pelo exploit kit são o CVE-2015-3636 (utilizada pelo exploit PingPongRoot) e o CVE-2014-3153 (utilizada pelo exploit Towelroot). Os exploits restantes estão obsoletos e são relativamente desconhecidos, até mesmo na comunidade de segurança.

Segundo análise da Trend Micro, o malware pode receber instruções remotas sobre qual aplicativo baixar e instalar silenciosamente em dispositivos móveis. Esta variante do Godless busca remotamente uma payload – código malicioso que o malware faz o download – e instala um backdoor com acesso raiz para o download de aplicativos nos dispositivos afetados.