In timp ce studiau activitatea unor grupari infractionale, cercetatorii Kaspersky Lab au detectat o activitate suspecta intr-un script malware, de pe un site infectat, care ii pune pe utilizatorii de Android in pericol.Script-ul activeaza, de obicei, descarcarea unor exploit-uri Flash, pentru a ataca utilizatorii de Windows. Script-ul a fost, insa, modificat astfel incat sa verifice dispozitivul folosit de victima, cautand versiuni de Android 4 sau mai vechi. Constienti de pericol, expertii Kaspersky Lab au decis sa cerceteze problema mai atent.
Pentru infractorii cibernetici, este mult mai greu sa infecteze un dispozitiv cu Android decat un PC cu Windows. Sistemul de operare Windows – si mai multe aplicatii populare pentru acesta – contine vulnerabilitati care permit unui cod malware sa fie lansat automat, fara alte interactiuni cu un utilizator. Acesta nu este, in general, cazul sistemelor Android, pentru ca instalarea unei aplicatii solicita confirmarea posesorului dispozitivului. Totusi, vulnerabilitatile unui sistem de operare pot fi folosite astfel incat sa treaca peste aceasta restrictie si, dupa cum au descoperit cercetatorii nostri in timpul investigatiei, chiar se intampla asta.
Script-ul este un set de instructiuni speciale menite sa fie lansate in browser, incluse in codul site-ului infectat. Primul script a fost descoperit in timp ce cauta dispozitive cu versiuni vechi de Android. Alte doua script-uri suspecte au fost detectate ulterior. Primul este capabil sa trimita un SMS la orice numar de mobil, in timp ce al doilea creeaza fisiere malware pe cardul SD al dispozitivului atacat. Ambele script-uri malware pot sa faca diverse actiuni fara sa aiba nevoie de utilizatorul de Android: nu este nevoie decat ca acesta sa viziteze, ocazional, un site infectat, pentru a fi compromis.
Acest lucru a fost posibil pentru ca infractorii cibernetici au exploatat anumite vulnerabilitati ale versiunilor de Android 4.1.x sau mai vechi. Vulnerabilitatile respective au fost rezolvate de Google intre 2012 si 2014, dar exista inca riscul sa se profite de pe urma acestora. De exemplu, din cauza caracteristicilor sistemului Android, multe companii care produc dispozitive cu sistem Android scot pe piata update-urile de securitate necesare intr-un ritm prea lent. Unii dintre ei nu mai aduc deloc update-uri, pentru ca un anumit model de dispozitiv este deja invechit din punct de vedere tehnic.
“Tehnicile pe care le-am descoperit in timpul cercetarii noastre nu erau noi, ci imprumutate din experimente de validare a unui anumit concept, publicate anterior de cercetatori. Acest lucru inseamna ca producatorii de dispozitive cu Android ar trebui sa fie constienti de faptul ca publicarea unor astfel de experimente va duce, inevitabil, la aparitia unor exploit-uri. Utilizatorii acestor dispozitive merita sa fie protejati cu update-urile de securitate corespunzatoare, chiar daca dispozitivele nu mai sunt vandute la momentul respectiv”, a declarat Victor Chebyshev, security expert la Kaspersky Lab.
Pentru a se proteja de atacuri, expertii Kaspersky Lab le recomanda utilizatorilor:
• Sa-si pastreze software-ul existent pe Android la zi, activand functia pentru actualizari automate;
• Sa restrictioneze instalarea aplicatiilor din surse alternative la Google Play, mai ales daca printre dispozitive sunt si unele folosite in retele de companie;
• Sa foloseasca o solutie de securitate recunoscuta. Kaspersky Internet Security for Android si Kaspersky Security for Mobile with Mobile Device Management pot detecta schimbarile din cardul SD al dispozitivului, in timp real, protejand, astfel, utilizatorii impotriva atacurilor dupa metoda descrisa mai sus.
