Зловмисники використовують набір експлойтів для кібератак на користувачів Android

Фахівці відомої компанії Blue Coat обнаружили набір експлойтів, який використовується зловмисниками для автоматичної установки шкідливих програм (drive-by download) на смартфони під управлінням застарілої версії Android. Автоматична установка шкідливої програми — здирника під назвою Cyber.Police досягається за рахунок використання двох експлойтів: перший аналогічний эксплойту з утекшего архіву вихідних текстів Hacking Team (бібліотека Android libxslt), а другого під назвою Towelroot, що дозволяє обійти механізми безпеки Android і отримати права root на пристрої.



Вектором кібератаки є шкідливий веб-сайт зі спеціальним кодом JavaScript експлойта libxslt, який ініціює drive-by download. Після цього власникові пристрою завантажується модифікація експлойта Towelroot, який дозволяє йому отримати максимальні права root в Android (CVE-2014-3153). Перший drive-by експлойт актуальне для користувачів Android версій від 4.0.3 до 4.4.4. Під час роботи першого експлойта, а також встановлення шкідливого додатка, Android не відображає користувачеві жодних попереджень чи повідомлень. Антивірусні продукти ESET виявляють Towelroot LPE-експлойт як Android/Exploit.Towel.F.


Рис. Інформація про файл експлойта Towelroot (module.so), який завантажується libxslt drive-by експлойтів. (дані Blue Coat)

Користувачам застарілих версій Android слід враховувати актуальність такого механізму компрометації їх пристрою. Також слід врахувати і те, що виробники застарілих моделей пристроїв під управлінням таких версій Android не випускають для них оновлення, а це говорить про те, що користувачі не зможуть виправити дану ситуацію і залишаться потенційно можливими жертвами описаної вище схеми зловмисників.

Фахівці Blue Coat змогли виявити 224 унікальних моделей пристроїв, які виявилися заражені подібною схемою. Всі вони працювали під управлінням Android версії від 4.0.3 до 4.4.4.


Рис. Заблокований здирником екран пристрою користувача. (дані Blue Coat)

Встановлюваний експлойта вимагач називається Cyber.Police і залякує користувачів попередженням від правоохоронних органів. На екрані блокування відображається назва пристрою, IP-адреса, країна розташування, а також версія Android. Вимагач не шифрує дані на пристрої, а просто блокує його екран, не залишаючи користувачеві можливостей для роботи з ним. Виявляється антивірусними продуктами ESET як Android/Locker.HR.


Рис. Повідомлення, яке показується шкідливою програмою користувачеві відразу після установки. Дії вимагача маскуються під легітимне оновлення Android. (дані Blue Coat)


Рис. Список виконуваних здирником системних функцій Android. Видно, що додаток спеціалізується на вбивство інших процесів, відкритті мережевих сокетів, а також отримання різної інформації про пристрої. (дані Blue Coat)


Рис. Інформація про оплату викупу в розмірі $200, оплата здійснюється за допомогою подарункових карток iTunes. Даний механізм оплати відрізняє цей вимагач від інших, оскільки в їх випадку оплата здійснюється з використанням биткоинов. (дані Blue Coat)


Рис. Інформація про подарункових картах iTunes, яку відображає вимагач. (дані Blue Coat)

У подібних випадках зараження шкідливою програмою, ми рекомендуємо своєчасно робити резервні копії зберігаються на пристрої даних, щоб у подальшому можна було безболісно виконати заводський скидання пристрою і відновити на ньому дані користувача. Для користувачів Android також актуально встановлювати на нього випускаються оновлення. Google оновлює Android, як мінімум, раз на місяць, що дозволяє їй оперативно закривати виявляються уразливості в цій мобільної ОС. В нашому блозі регулярно з'являється інформація про закриваються Google вразливості. Ми також рекомендуємо використовувати антивірусне ПЗ для Android, наш антивірусний продукт ESET Mobile Security успішно виявляє використовується зловмисниками експлойт, а також саму шкідливу програму.

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.