Obserwując działalność kilku ugrupowań cyberprzestępczych, badacze z Kaspersky Lab zauważyli na zainfekowanych stronach internetowych nietypową aktywność stanowiącą zagrożenie dla użytkowników systemu Android. Poza infekowaniem komputerów z systemem Windows szkodliwy skrypt sprawdza typ urządzenia użytkownika w poszukiwaniu i atakowaniu sprzętu z Androidem w wersjach 4 i starszych.
Urządzenia z takimi wersjami Androida są infekowane podczas otwierania odpowiednio przygotowanych stron WWW – bez jakiegokolwiek udziału ze strony użytkownika.
Zainfekowanie urządzenia z Androidem jest znacznie trudniejsze niż umieszczenie szkodliwego programu na typowym komputerze — w większości przypadków instalacja aplikacji mobilnych wymaga potwierdzenia właściciela urządzenia. Jednak luki w zabezpieczeniach starszych wersji Androida mogą pozwolić na obejście tego zabezpieczenia. W trakcie swojego badania eksperci z Kaspersky Lab wykryli, że takie przypadki mają miejsce i są realizowane z użyciem szkodliwych skryptów zamieszczanych przez atakujących na stronach WWW.
Skrypty te stanowią zestaw specjalnych instrukcji do wykonania w przeglądarce internetowej, osadzonych w kodzie zainfekowanej strony WWW. Niebezpieczna aktywność została zidentyfikowana przez badaczy z Kaspersky Lab podczas analizy szkodliwego zachowania – eksperci zauważyli, że kod cyberprzestępczej strony WWW szuka urządzeń działających pod kontrolą starych wersji systemu Android. Następnie wykryto dwa kolejne podejrzane skrypty. Pierwszy z nich potrafi wysyłać SMS-y na dowolny numer telefonu komórkowego, drugi natomiast zapisuje na karcie SD atakowanego urządzenia trojana, który potrafi przechwytywać i wysyłać wiadomości SMS. Wykryte skrypty potrafią wykonywać swoje działania niezależnie od woli użytkownika systemu Android: aby urządzenie zostało zainfekowane, użytkownik musi jedynie wejść na stronę spreparowaną przez cyberprzestępców.
Dlaczego takie ataki są możliwe?
Działanie skryptów jest możliwe w wyniku zastosowania przez cyberprzestępców szkodliwych narzędzi wykorzystujących kilka luk w zabezpieczeniach systemu Android w wersjach 4.1.x i starszych – w szczególności CVE-2012-6636, CVE-2013-4710 oraz CVE-2014-1939. Wszystkie trzy luki zostały załatane przez firmę Google między 2012 i 2014 rokiem, jednak ryzyko ich wykorzystania nadal istnieje. Ze względu na cechy ekosystemu Androida wielu producentów urządzeń opartych na tym systemie operacyjnym zbyt wolno udostępnia niezbędne aktualizacje bezpieczeństwa. Niektórzy w ogóle nie publikują aktualizacji, ponieważ dany model urządzenia jest technologicznie przestarzały, choć ciągle znajduje się w użytku.
– Techniki stosowania szkodliwych skryptów wycelowanych w starsze wersje Androida, jakie zidentyfikowaliśmy podczas naszego badania, nie są niczym nowym – zostały zapożyczone przez cyberprzestępców z prac opublikowanych wcześniej przez badaczy ds. bezpieczeństwa IT. To oznacza, że producenci urządzeń z systemem Android powinni pamiętać, że ich klienci zasługują na ochronę w postaci odpowiednich aktualizacji bezpieczeństwa, nawet jeśli dany model urządzenia nie znajdują się już w sprzedaży – powiedział Wiktor Czebyszew, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
Jak się chronić?
Eksperci z Kaspersky Lab przygotowali kilka porad bezpieczeństwa dla użytkowników urządzeń z systemem Android:
- zadbaj o to, aby Twoje urządzenie z Androidem pracowało z użyciem najnowszej dostępnej wersji systemu operacyjnego – w tym celu włącz automatyczną aktualizację,
- unikaj instalacji aplikacji z nieoficjalnych źródeł – najlepiej korzystać wyłącznie ze sklepu Google Play,
- korzystaj z niezawodnego rozwiązania bezpieczeństwa, np. z aplikacji Kaspersky Internet Security for Android lub Kaspersky Security for Mobile, które potrafią wykrywać zmiany na karcie SD i w pamięci urządzenia w czasie rzeczywistym, chroniąc w ten sposób użytkowników przed opisanymi wcześniej atakami.