mobile malware
Google Android

Starije verzije Android uređaja pod rizikom od automatskog preuzimanja malvera

Prilikom posmatranja aktivnosti nekoliko sajber kriminalnih grupa, istraživači iz kompanije Kaspersky Lab primetili su neobičnu aktivnost u malicioznoj skripti na zaraženoj veb stranici, koja izlaže Android korisnike opasnosti.

Ova skripta uglavnom aktivira preuzimanje alata koji iskorišćavaju flash ranjivosti i napadaju korisnike Windows operativnog sistema. Međutim, skripta je u jednom trenutku izmenjena tako da može da proverava tip uređaja koji žrtva koristi, pri čemu su joj mete operativni sistem Android 4 ili njegove starije verzije. Nekon što su uočili opasnost, stručnjaci iz kompanije Kaspersky Lab nastavili su detaljnije da istražuju.

Zaraziti Android uređaje daleko je teže nego što je to slučaj sa Windows PC računarima. Windows operativni sistem i široko rasprostranjene aplikacije koje su njemu namenjene imaju propuste koje dozvoljavaju malicioznim kodovima da budu aktivirani bez ikakve interakcije sa korisnikom. Ovo obično nije slučaj sa Android operativnim sistemom, jer instalacija aplikacija zahteva potvrdu od vlasnika Android uređaja. Međutim, ranjivosti  na operativnom sistemu mogu biti eksploatisane tako da napadači zaobiđu ova ograničenja, a kao što su istraživači otkrili tokom istrage, to se i dešava.

 

Skripta predstavlja skup specijalnih instrukcija za egzekuciju u pretraživaču, koje su ugrađene u kod zaražene veb stranice. Prva skripta otkrivena je tokom traženja uređaja koji rade na starijim verzijama Android operativnog sistema. Ubrzo zatim, otkrivene su još dve sumnjive skripte. Prva je imala sposobnost da šalje SMS poruke na bilo koji broj mobilnog telefona, dok je druga kreirala štetne fajlove na SD karticama napadnutog uređaja. Taj maliciozni fajl jeste Trojan, i on ima sposobnost da presreće i šalje SMS poruke. Obe maliciozne skripte mogu da obavljaju radnje nezavisno od Android korisnika: dovoljno je da korisnik samo povremeno poseti zaraženu veb stranicu kako bi bio ugrožen.

 

Ovakva situacija bila je moguća zato što su sajber kriminalnci uspeli da iskoriste nekoliko ranjivosti na 4.1 ili starijim verzijama Android operativnog sistema, tačnije , CVE-2012-6636, CVE-2013-4710 i CVE-2014-1939 . Ova tri propusta ,,zakrpila” je kompanija Google između 2012. i 2014. godine, ali rizik od njihove eksploatacije i dalje postoji. Na primer, zbog karakteristika Android eko-sistema, brojni proizvođači prave uređaje zasnovane na Android operativnom sistemu, ali neophodni sigurnosni paketi za ažuriranje često bivaju objavljeni previše kasno. Neki od njih ne objavljuju pakete za ažuriranje zbog tehničke zastarelosti određenih modela uređaja.

 

,,Tehnike eksploatacije koje smo pronašli tokom istraživanja ne predstavljaju ništa novo, već su pozajmljene iz nekih dokaza koncepta, koje su prethodno objavili etički hakeri (white hat hacker). To znači da bi proizvođači Android uređaja trebalo da uzmu u obzir činjenicu da bi objavljivanje dokaza koncepta neminovno dovelo do pojave sajber napada koji se tretiraju kao „oružani“. Korisnici ovih uređaja zaslužuju zaštitu sa odgovarajućim bezbednosnim ažuriranjima, čak i ako ti uređaji više nisu u prodaji’’, izjavio je Viktor Čebjušev (Victor Chebyshev), bezbednosni stručnjak u kompaniji Kaspersty Lab.

 

Kako biste se zaštitili od „drive-by“ napada (napadi gde koriscnici nesvesno preuzimaju virus sa zaražene legitimne veb stranice), stručnjaci iz kompanije Kaspersky Lab vam savetuju da:

  • Redovno ažurirate softver vašeg Android uređaja tako što ćete aktivirati opciju za automatsko ažuriranje.
  • Ograničite instaliranje aplikacija sa alternativnih izvora, osim Google Play prodavnice, posebno ako upravljate većim brojem uređaja u korporativnim mrežama.
  • Koristite dokazana sigurnosna rešenja. Kaspersky Internet Security for Android i Kaspersky Security for Mobile with Mobile Device Management mogu da detektuju promene na SD kartici uređaja u realnom vremenu i tako štite korisnike od „drive-by“

Leave a Reply