Naprave s starejšimi različicami Androida ogroža samodejno prenesena zlonamerna programska oprema

16.05.2016
Objavil: Dare Gliha

Med opazovanjem aktivnosti številnih kibernetskih skupin so raziskovalci Kaspersky Laba zaznali nenavadno delovanje zlonamerne skripte na okuženi spletni strani. Ta povzroča varnostno tveganje za uporabnike operacijskega sistema Android.

Skripta običajno aktivira prenos Flash ranljivosti za napad na Windows uporabnike. Sedaj je spremenila način delovanja in preverja tip naprave, ki jo žrtev uporablja. Namenoma išče uporabnike, ki uporabljajo operacijski sistem Android 4 ali starejše različice. Pri zaznavi te nevarnosti so se strokovnjaki Kaspersky Laba odločili grožnjo raziskati v globino.

Okužiti naprave s platformo Android je za kriminalce precej težje kot osebne računalnike z operacijskim sistemom Windows. Slednji in številne zanj razširjene aplikacije namreč vključujejo ranljivosti, ki zlonamerni kodi omogočijo izvršitev ukazov brez vednosti uporabnika. To običajno ne velja za operacijski sistem Android, saj vsaka aplikacija ob namestitvi od uporabnika zahteva potrditev. Kljub temu ranljivosti operacijskega sistema omogočajo obhod teh omejitev in, kot so ugotovili raziskovalci Kaspersky Laba, se to tudi dogaja.

Skripta, ki je vključena v kodo okužene spletne strani, je niz posebnih navodil za izvajanje v brskalniku. Prva skripta je bila odkrita medtem ko je iskala naprave s starejšimi različicami operacijskega sistema Android. Nato sta bili zaznani še dve sumljivi skripti. Prva od teh je zmožna poslati kratko sporočilo na katero koli številko, druga pa ustvarja zlonamerne datoteke na SD-kartici na napadeni napravi. Ta zlonamerna datoteka je trojanec in ima zmožnost prestreči in poslati kratka sporočila. Obe zlonamerni skripti lahko aktivnosti izvajata neodvisno od uporabnika. Za izpostavitev tej nevarnosti pa mora uporabnik le občasno obiskati okuženo spletno stran.

To početje je možno zato, ker kibernetski kriminalci izkoriščajo številne ranljivosti na različicah operacijskega sistema Android, starejših od 4.1.x.. Med njimi še posebej naslednje ranljivosti: CVE-2012-6636, CVE-2013-4710 in CVE-2014-1939, ki jih je Google odpravil med letoma 2012 in 2014, vendar tveganje za njihovo izkoriščanje še vedno obstaja. Na primer, zaradi značilnosti ekosistema Android veliko ponudnikov naprav z Androidom, prepočasi izdaja potrebne varnostne posodobitve. Nekateri posodobitev sploh ne omogočajo zaradi tehnične zastarelosti določenih modelov naprav.

»Tehnike izkoriščanja, ki so bile odkrite med našo raziskavo, niso novost temveč izhajajo iz preizkušenih konceptih (ang. Proof of Concept), katere so že obravnavali etični hekerji (ang. white hat researchers). To pomeni, da morajo ponudniki naprav z Androidom računati na dejstvo, da objava preizkušenih konceptov neizogibno vodi v pojav novih zlorab in napadov. Uporabniki pa si zaslužijo ostati zaščiteni z ustreznimi varnostnimi posodobitvami, četudi naprave v določenem času niso več v prodaji,« je pojasnil Victor Chebyshev, varnostni strokovnjak pri Kaspersky Labu.

Za zaščito pred »mimobežnimi« napadi strokovnjaki Kaspersky Laba uporabnikom svetujejo naslednje:
• Skrb za posodabljanje naprav z operacijskim sistemom Android z omogočanjem funkcije samodejnega posodabljanja.
• Omejitev namestitev aplikacij iz drugih virov kot je trgovina Google Play, še posebej v primeru uporabe številnih naprav v korporativnih omrežjih.
• Uporaba preizkušene varnostne rešitve, kot sta Kaspersky Internet Security for Android in Kaspersky Security for Mobile z opcijo za upravljanje mobilne naprave (ang. Mobile Device Management). Obe varnostni rešitvi omogočata zaznavanje sprememb na SD-kartici na napravi v realnem času in tako zaščitita uporabnike pred zgoraj opisanimi mimobežnimi napadi.

Več o mimobežnih napadih na naprave z operacijskim sistemom Android lahko preberete na spletni strani Securelist.com.