Другие новости

Программа-вымогатель атакует старые Android-устройства

26.04.2016 | 00:58 Экономика

Вредоносная программа использует эксплойты Towelroot и Hacking Team для компрометации устройств под управлением старых версий Android

Злоумышленники используют два известных эксплойта для установки программ-вымогателей на старых Android-устройствах, когда их владельцы попадают на веб-сайты, содержащие вредоносную рекламу.

Веб-атака, использующая уязвимости в браузерах (или в их плагинах), для установки вредоносного программного обеспечения, является обычным делом для Windows-компьютеров, но не для Android, где модель обепечения безопасности приложений сильнее.

Исследователи из компании Blue Coat Systems обнаружили новую drive-by download атаку под Android. Одно из тестовых устройств – планшет Samsung, работающий под управлением CyanogenMod 10.1, основанном на Android 4.2.2, было заражено программой-вымогателем после посещения веб-страницы со зловредной рекламой.

«Впервые эксплойт-киту удалось успешно установить вредоносное приложение на мобильном устройстве без какого-либо взаимодействия с пользователем», сказал Эндрю Брандт, директор по исследованиям угроз в Blue Coat. «Во время нападения устройство не отображает типичное диалоговое окно с разрешениями приложения».

Дальнейший анализ с помощью исследователей Zimperium показал, что реклама содержит код JavaScript, эксплуатирующий известную уязвимость в libxslt. Эксплойт libxslt был среди файлов, просочившихся в прошлом году от производителя программного обеспечения для наблюдения Hacking Team.

В случае успеха, эксплойт оставляет исполняемый файл с названием module.so на устройстве, который, в свою очередь эксплуатирует другую уязвимость, чтобы получить root доступ. Эксплойт root, используемый module.so, известен как Towelroot с 2014 года.

После того, как устройство взломано, Towelroot загружает и тихо устанавливает файл APK (Android Package), который является программой-вымогателем под названием Dogspectus или Cyber.Police.

Это приложение не шифрует пользовательские файлы, как делают другие программы-вымогатели. Вместо этого, он отображает поддельные предупреждения, якобы от правоохранительных органов, заявляя, что на устройстве была обнаружена незаконная деятельность, и владелец должен заплатить штраф.

Приложение блокирует любую деятельность на устройстве, пока не будет выплачен выкуп, или не выполнен сброс к заводским установкам. Второй вариант сотрет все файлы с устройства, поэтому лучше подключить устройство к компьютеру и сохранить данные.

Эксплойты типа Towelroot — неявно вредоносные. Некоторые пользователи охотно используют их для рутирования своих устройств, чтобы снять ограничения безопасности и разблокировать недоступные функциональные возможности.

«Реализация эксплойтов Hacking Team и Towelroot для установки вредоносных программ на мобильных устройств Android с помощью автоматизированной эксплуатации имеет серьезные последствия», сказал Брандт. «Самым важным из них является то, что старые устройства, которые не были обновлены (вероятно, и не будут обновлены) на последнюю версию Android, могут оставаться чувствительными к этому типу атаки на вечные времена».

Тем не менее, поскольку создатели вредоносных программ могут использовать такие эксплойты для вредоносных целей, Google рассматриает приложения для рутирования, как потенциально опасные и блокирует их установку посредством функции под названием Verify Apps.

Пользователи должны включить эту функцию в разделе Настройки> Google> Безопасность> Сканирование устройства на наличие угроз безопасности.

Обновление устройства до последней версии Android рекомендуется всегда, так как более новые версии операционной системы включают в себя исправления уязвимостей и другие улучшения в области безопасности. Когда устройство больше не поддерживается и не получает обновления, пользователи должны ограничить просмотр веб-страниц на нем.

На старых устройствах нужно установить браузер, например Chrome, вместо использования браузера по умолчанию.