Вредоносное семейство программ под названием Godless обнаружено компанией Trend Micro под именем ANDROIDOS_GODLESS.HRX на смартфонах и планшетах на платформе Android. Оно использует эксплоиты для рутирования системы и получения прав администратора.
Trend Micro говорит, что приложение распространяется разными методами из разных источников, в том числе из магазина Google Play Store, который считается самым безопасным местом для скачивания программ. Godless входит в состав других приложений и при запуске скачивает с GitHub инструмент рутирования Android.
Анализ кода даёт Trend Micro возможность утверждать, что Godless может рутировать все версии Android от Android Lollipop (5.1) и более старые. Это делает уязвимыми 90% Android-устройств. Самыми опасными эксплоитами в коллекции Godless являются CVE-2015-3636 (PingPongRoot) и CVE-2014-3153 (Towelroot).
Убедившись, что экран устройства выключен, приложение запускает вредоносный код. Выполнив рут, Goodless устанавливает связь с командным сервером и получает оттуда список приложений для установки. В прошлых версиях скачивались клоны приложений Google Play Store, используемые для сбора логинов и паролей пользователей.
Число жертв Godless оценивается примерно в 850 тысяч. Их географическое распределение показано на графике выше. В начале мая компания Bitdefender нашла похожее Android-приложение с возможностью выполнять рут устройств.