Script-ul activează, de obicei, descărcarea unor exploit-uri Flash, pentru a ataca utilizatorii de Windows. Script-ul a fost, însă, modificat astfel încât să verifice dispozitivul folosit de victimă, căutând versiuni de Android 4 sau mai vechi. Conștienți de pericol, experții Kaspersky Lab au decis să cerceteze problema mai atent.
Pentru infractorii cibernetici, este mult mai greu să infecteze un dispozitiv cu Android decât un PC cu Windows. Sistemul de operare Windows – și mai multe aplicații populare pentru acesta – conține vulnerabilități care permit unui cod malware să fie lansat automat, fără alte interacțiuni cu un utilizator. Acesta nu este, în general, cazul sistemelor Android, pentru că instalarea unei aplicații solicită confirmarea posesorului dispozitivului. Totuși, vulnerabilitățile unui sistem de operare pot fi folosite astfel încât să treacă peste această restricție și, după cum au descoperit cercetătorii noștri în timpul investigației, chiar se întâmplă asta.
Script-ul este un set de instrucțiuni speciale menite să fie lansate în browser, incluse în codul site-ului infectat. Primul script a fost descoperit în timp ce căuta dispozitive cu versiuni vechi de Android. Alte două script-uri suspecte au fost detectate ulterior. Primul este capabil să trimită un SMS la orice număr de mobil, în timp ce al doilea creează fișiere malware pe cardul SD al dispozitivului atacat. Ambele script-uri malware pot să facă diverse acțiuni fără să aibă nevoie de utilizatorul de Android: nu este nevoie decât ca acesta să viziteze, ocazional, un site infectat, pentru a fi compromis.
Acest lucru a fost posibil pentru că infractorii cibernetici au exploatat anumite vulnerabilități ale versiunilor de Android 4.1.x sau mai vechi. Vulnerabilitățile respective au fost rezolvate de Google între 2012 și 2014, dar există încă riscul să se profite de pe urma acestora. De exemplu, din cauza caracteristicilor sistemului Android, multe companii care produc dispozitive cu sistem Android scot pe piață update-urile de securitate necesare într-un ritm prea lent. Unii dintre ei nu mai aduc deloc update-uri, pentru că un anumit model de dispozitiv este deja învechit din punct de vedere tehnic.
“Tehnicile pe care le-am descoperit în timpul cercetării noastre nu erau noi, ci împrumutate din experimente de validare a unui anumit concept, publicate anterior de cercetători. Acest lucru înseamnă că producătorii de dispozitive cu Android ar trebui să fie conștienți de faptul că publicarea unor astfel de experimente va duce, inevitabil, la apariția unor exploit-uri. Utilizatorii acestor dispozitive merită să fie protejați cu update-urile de securitate corespunzătoare, chiar dacă dispozitivele nu mai sunt vândute la momentul respectiv”, a declarat Victor Chebyshev, security expert la Kaspersky Lab.
Pentru a se proteja de atacuri, experții Kaspersky Lab le recomandă utilizatorilor:
• Să-și păstreze software-ul existent pe Android la zi, activând funcția pentru actualizări automate;
• Să restricționeze instalarea aplicațiilor din surse alternative la Google Play, mai ales dacă printre dispozitive sunt și unele folosite în rețele de companie;
• Să folosească o soluție de securitate recunoscută. Kaspersky Internet Security for Android și Kaspersky Security for Mobile with Mobile Device Management pot detecta schimbările din cardul SD al dispozitivului, în timp real, protejând, astfel, utilizatorii împotriva atacurilor după metoda descrisă mai sus.