RootRoot

RootRoot — это инструментарий с открытым исходным кодом для обнаружения угроз безопасности Android, созданный для исследователей безопасности, специалистов по тестированию на проникновение и энтузиастов Android. Он демонстрирует, как мобильные приложения обнаруживают рутированные устройства, установленный Magisk и фреймворки инструментов Frida в режиме реального времени.
Приложение выполняет 13 проверок безопасности по 4 различным стратегиям обнаружения, предоставляя вам всестороннее представление о состоянии безопасности вашего устройства.

Приложение выполняет 13 проверок безопасности по 4 различным стратегиям обнаружения, предоставляя вам всестороннее представление о состоянии безопасности вашего устройства.
▌ МЕТОДЫ ОБНАРУЖЕНИЯ
◆ Обнаружение на уровне Java
• Сканирование корневых пакетов — проверяет PackageManager на соответствие 48 известным сигнатурам корневых приложений, включая Magisk, SuperSU, KingRoot и Xposed
• Поиск бинарных файлов SU — сканирует 14 каталогов на наличие бинарных файлов su, busybox и magisk
◆ Статическая регистрация нативных файлов
Использует экспортированные символы JNI, видимые в таблице символов .so:
• Проверка бинарных файлов Su через доступ к нативным файлам
• Обнаружение монтирования Magisk через /proc/mounts
• Сканирование процессов Frida через /proc/cmdline
• Обнаружение библиотек Frida через /proc/self/maps
◆ Динамическая регистрация нативных файлов
Функции регистрируются во время выполнения с помощью RegisterNatives() в JNI_OnLoad — в таблице символов не видны экспортированные символы. Те же проверки, сложнее провести обратное проектирование.

◆ Нативный Dlsym (скрытая регистрация)
Функции загружаются через dlsym() из отдельной разделяемой библиотеки — наиболее обфусцированная стратегия обнаружения, имитирующая поведение реальных SDK безопасности.

▌ ОСНОВНЫЕ ОСОБЕННОСТИ
✦ 13 проверок обнаружения по 4 стратегиям регистрации JNI
✦ Темный интерфейс в стиле терминала с расширяемыми карточками результатов
✦ Результаты сканирования в реальном времени с указанием времени выполнения
✦ Подробное описание каждого метода обнаружения
✦ Чистый нативный код на C — отсутствие зависимости от STL C++
✦ Образовательный инструмент для понимания мобильной безопасности
✦ Поддерживает armeabi-v7a, arm64-v8a, x86 и x86_64
▌ ДЛЯ КОГО ЭТО ПРЕДНАЗНАЧЕНО?

• Исследователи безопасности, изучающие методы обнаружения root-прав в Android
• Специалисты по тестированию на проникновение, оценивающие уровень безопасности устройств
• Разработчики Android, внедряющие или проверяющие меры защиты от несанкционированного доступа
• Студенты, изучающие JNI, нативный код и мобильную безопасность
• Энтузиасты ROM/Magisk, тестирующие методы обхода обнаружения
▌ ОБРАЗОВАТЕЛЬНАЯ ЦЕЛЬ
RootRoot разработан как инструмент для исследований и обучения в области безопасности. Он демонстрирует как наступательные, так и оборонительные методы обеспечения безопасности мобильных устройств. Все методы обнаружения полностью документированы и имеют открытый исходный код на GitHub.
Понимание того, как работает обнаружение root-прав, помогает как защитникам создавать более надежную защиту, так и исследователям выявлять слабые места в существующих реализациях.
Исходный код: https://github.com/John-Jung/RootRoot