RootRoot

RootRoot es un kit de herramientas de detección de seguridad para Android de código abierto, diseñado para investigadores de seguridad, expertos en pruebas de penetración y entusiastas de Android. Demuestra cómo las aplicaciones móviles detectan dispositivos rooteados, instalaciones de Magisk y frameworks de instrumentación Frida en tiempo real.
La aplicación realiza 13 comprobaciones de seguridad con 4 estrategias de detección distintas, lo que proporciona una visión completa del estado de seguridad de su dispositivo. ▌ MÉTODOS DE DETECCIÓN
◆ Detección de la capa Java
• Escaneo de paquetes raíz: Compara PackageManager con 48 firmas de aplicaciones raíz conocidas, incluyendo Magisk, SuperSU, KingRoot y Xposed
• Búsqueda binaria de SU: Escanea 14 directorios en busca de binarios su, busybox y magisk
◆ Registro estático nativo
Utiliza símbolos JNI exportados visibles en la tabla de símbolos .so:
• Comprobación binaria de SU mediante acceso nativo a archivos
• Detección de montajes de Magisk mediante /proc/mounts
• Escaneo de procesos de Frida mediante /proc/cmdline
• Detección de bibliotecas de Frida mediante /proc/self/maps
◆ Registro dinámico nativo
Funciones registradas en tiempo de ejecución mediante RegisterNatives() en JNI_OnLoad: no hay símbolos exportados visibles en la tabla de símbolos. Las mismas comprobaciones, pero más difícil de aplicar ingeniería inversa. ◆ Dlsym nativo (registro oculto)
Funciones cargadas mediante dlsym() desde una biblioteca compartida independiente: la estrategia de detección más ofuscada, que simula el comportamiento real del SDK de seguridad.
▌ CARACTERÍSTICAS CLAVE
✦ 13 comprobaciones de detección en 4 estrategias de registro JNI
✦ Interfaz de usuario oscura estilo terminal con tarjetas de resultados expandibles
✦ Resultados del análisis en tiempo real con tiempo de ejecución
✦ Descripciones detalladas de cada técnica de detección
✦ Código nativo en C puro: sin dependencia de STL de C++
✦ Herramienta educativa para comprender la seguridad móvil
✦ Compatible con armeabi-v7a, arm64-v8a, x86 y x86_64
▌ ¿A QUIÉN VA DIRIGIDO? • Investigadores de seguridad que estudian técnicas de detección de root en Android
• Analistas de penetración que evalúan la seguridad de los dispositivos
• Desarrolladores de Android que implementan o auditan medidas antimanipulación
• Estudiantes que aprenden sobre JNI, código nativo y seguridad móvil
• Entusiastas de ROM/Magisk que prueban métodos para eludir la detección
▌ PROPÓSITO EDUCATIVO
RootRoot está diseñado como una herramienta educativa e investigadora de seguridad. Demuestra técnicas de seguridad móvil tanto ofensivas como defensivas. Todos los métodos de detección están completamente documentados y son de código abierto en GitHub.
Comprender cómo funciona la detección de root ayuda tanto a los defensores a construir protecciones más sólidas como a los investigadores a identificar debilidades en las implementaciones existentes.
Código fuente: https://github.com/John-Jung/RootRoot