Użytkownicy Androida 4.1.x lub starszego – jesteście w niebezpieczeństwie!

Obserwując działalność kilku ugrupowań cyberprzestępczych, badacze z Kaspersky Lab zauważyli na zainfekowanych stronach internetowych nietypową aktywność stanowiącą zagrożenie dla użytkowników systemu Android w wersji 4.1 lub starszej. Urządzenia z takimi wersjami Androida są infekowane podczas otwierania odpowiednio przygotowanych stron WWW – bez jakiegokolwiek udziału ze strony użytkownika.

Zainfekowanie urządzenia z Androidem jest znacznie trudniejsze niż umieszczenie szkodliwego programu na typowym komputerze – w większości przypadków instalacja aplikacji mobilnych wymaga potwierdzenia właściciela urządzenia. Jednak luki w zabezpieczeniach starszych wersji Androida mogą pozwolić na obejście tego zabezpieczenia. W trakcie swojego badania eksperci z Kaspersky Lab wykryli, że takie przypadki mają miejsce i są realizowane z użyciem szkodliwych skryptów zamieszczanych przez atakujących na stronach WWW.

Skrypty te stanowią zestaw specjalnych instrukcji do wykonania w przeglądarce internetowej, osadzonych w kodzie zainfekowanej strony WWW. Niebezpieczna aktywność została zidentyfikowana przez badaczy z Kaspersky Lab podczas analizy szkodliwego zachowania – eksperci zauważyli, że kod cyberprzestępczej strony WWW szuka urządzeń działających pod kontrolą starych wersji systemu Android. Następnie wykryto dwa kolejne podejrzane skrypty. Pierwszy z nich potrafi wysyłać SMS-y na dowolny numer telefonu komórkowego, drugi natomiast zapisuje na karcie SD atakowanego urządzenia trojana, który potrafi przechwytywać i wysyłać wiadomości SMS. Wykryte skrypty potrafią wykonywać swoje działania niezależnie od woli użytkownika systemu Android: aby urządzenie zostało zainfekowane, użytkownik musi jedynie wejść na stronę spreparowaną przez cyberprzestępców.

Działanie skryptów jest możliwe w wyniku zastosowania przez cyberprzestępców szkodliwych narzędzi wykorzystujących kilka luk w zabezpieczeniach systemu Android w wersjach 4.1.x i starszych – w szczególności CVE-2012-6636, CVE-2013-4710 oraz CVE-2014-1939. Wszystkie trzy luki zostały załatane przez firmę Google między 2012 i 2014 rokiem, jednak ryzyko ich wykorzystania nadal istnieje. Ze względu na cechy ekosystemu Androida wielu producentów urządzeń opartych na tym systemie operacyjnym zbyt wolno udostępnia niezbędne aktualizacje bezpieczeństwa.

Więcej informacji na temat ataków na urządzenia z Androidem realizowanych z wykorzystaniem szkodliwych skryptów na stronach WWW znajduje się na oficjalnej stronie.