Obserwując działalność kilku ugrupowań cyberprzestępczych, badacze z Kaspersky Lab zauważyli na zainfekowanych stronach internetowych nietypową aktywność stanowiącą zagrożenie dla użytkowników systemu Android. Poza infekowaniem komputerów z systemem Windows szkodliwy skrypt sprawdza typ urządzenia użytkownika w poszukiwaniu i atakowaniu sprzętu z Androidem w wersjach 4 i starszych. Urządzenia z takimi wersjami Androida są infekowane podczas otwierania odpowiednio przygotowanych stron WWW - bez jakiegokolwiek udziału ze strony użytkownika.

Zainfekowanie urządzenia z Androidem jest znacznie trudniejsze niż umieszczenie szkodliwego programu na typowym komputerze - w większości przypadków instalacja aplikacji mobilnych wymaga potwierdzenia właściciela urządzenia. Jednak luki w zabezpieczeniach starszych wersji Androida mogą pozwolić na obejście tego zabezpieczenia. W trakcie swojego badania eksperci z Kaspersky Lab wykryli, że takie przypadki mają miejsce i są realizowane z użyciem szkodliwych skryptów zamieszczanych przez atakujących na stronach WWW.

Skrypty te stanowią zestaw specjalnych instrukcji do wykonania w przeglądarce internetowej, osadzonych w kodzie zainfekowanej strony WWW. Niebezpieczna aktywność została zidentyfikowana przez badaczy z Kaspersky Lab podczas analizy szkodliwego zachowania - eksperci zauważyli, że kod cyberprzestępczej strony WWW szuka urządzeń działających pod kontrolą starych wersji systemu Android. Następnie wykryto dwa kolejne podejrzane skrypty. Pierwszy z nich potrafi wysyłać SMS-y na dowolny numer telefonu komórkowego, drugi natomiast zapisuje na karcie SD atakowanego urządzenia trojana, który potrafi przechwytywać i wysyłać wiadomości SMS. Wykryte skrypty potrafią wykonywać swoje działania niezależnie od woli użytkownika systemu Android: aby urządzenie zostało zainfekowane, użytkownik musi jedynie wejść na stronę spreparowaną przez cyberprzestępców.

Dlaczego takie ataki są możliwe?

Urządzenia ze starymi wersjami systemu Android mogą zostać zainfekowane podczas otwierania szkodliwych stron WWWDziałanie skryptów jest możliwe w wyniku zastosowania przez cyberprzestępców szkodliwych narzędzi wykorzystujących kilka luk w zabezpieczeniach systemu Android w wersjach 4.1.x i starszych - w szczególności CVE-2012-6636, CVE-2013-4710 oraz CVE-2014-1939. Wszystkie trzy luki zostały załatane przez firmę Google między 2012 i 2014 rokiem, jednak ryzyko ich wykorzystania nadal istnieje. Ze względu na cechy ekosystemu Androida wielu producentów urządzeń opartych na tym systemie operacyjnym zbyt wolno udostępnia niezbędne aktualizacje bezpieczeństwa. Niektórzy w ogóle nie publikują aktualizacji, ponieważ dany model urządzenia jest technologicznie przestarzały, choć ciągle znajduje się w użytku.

"Techniki stosowania szkodliwych skryptów wycelowanych w starsze wersje Androida, jakie zidentyfikowaliśmy podczas naszego badania, nie są niczym nowym - zostały zapożyczone przez cyberprzestępców z prac opublikowanych wcześniej przez badaczy ds. bezpieczeństwa IT. To oznacza, że producenci urządzeń z systemem Android powinni pamiętać, że ich klienci zasługują na ochronę w postaci odpowiednich aktualizacji bezpieczeństwa, nawet jeśli dany model urządzenia nie znajdują się już w sprzedaży" - powiedział Wiktor Czebyszew, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.

Jak się chronić?

Eksperci z Kaspersky Lab przygotowali kilka porad bezpieczeństwa dla użytkowników urządzeń z systemem Android:

  • zadbaj o to, aby Twoje urządzenie z Androidem pracowało z użyciem najnowszej dostępnej wersji systemu operacyjnego - w tym celu włącz automatyczną aktualizację,
  • unikaj instalacji aplikacji z nieoficjalnych źródeł - najlepiej korzystać wyłącznie ze sklepu Google Play,
  • korzystaj z niezawodnego rozwiązania bezpieczeństwa, np. z aplikacji Kaspersky Internet Security for Android lub Kaspersky Security for Mobile, które potrafią wykrywać zmiany na karcie SD i w pamięci urządzenia w czasie rzeczywistym, chroniąc w ten sposób użytkowników przed opisanymi wcześniej atakami.

Więcej informacji na temat ataków na urządzenia z Androidem realizowanych z wykorzystaniem szkodliwych skryptów na stronach WWW znajduje się na stronie http://r.kaspersky.pl/IVJI4.

źródło: Kaspersky Lab Polska