Towelroot: Uživatelé starších Androidů v ohrožení

26. 4. 2016

Sdílet

 Autor: Fotolia © alexskopje
Útočníci zneužili dříve nevídaným způsobem Towelroot, aby uživatelům starších Androidů do systému v tichosti nainstalovali škodlivý software.

Uživatelé starších verzí Androidu můžou mít problém. Útočníci našli novou fintu, jak jim do systému nainstalovat ransomware z webových stránek se škodlivými reklamami. Podobné útoky vedené skrze prohlížeče nebo jejich plug-iny jsou běžné na počítačích s operačním systémem Windows, nikoliv však na Androidech, kde je bezpečnostní model efektivnější.

Nový drive-by útok teď objevili vývojáři z týmu Blue Coat System, když jejich testovací tablet Samsung běžící s ROMem CyanogenMod 10.1 (postaveném na Androidu 4.2.2) infikoval po návštěvě škodné webové stránky ransomware.

„Tohle je, pokud je mi známo, poprvé, kdy byli útočníci schopni úspěšně nainstalovat škodlivou aplikaci do mobilního zařízení bez jakékoliv interakce nebo přispění uživatele,“ říká Andrew Brandt z Blue Coat. „Zařízení během útoku nezobrazilo standardní box s povolením práv, který normálně instalaci androidové aplikace předchází.“

Další analýza ukázala, že škodlivá reklama obsahovala JavaScript kód, který využil od loňska známé slabiny v knihovně libxslt. Po následném spuštění ELFu s názvem module.so se útočník mohl dostat až k root právům a jejich zneužitím stáhnout a v tichosti nainstalovat APK v podobě ransomwaru známého jako Dogspectus nebo Cyber.Police.

Ten, na rozdíl od jiného ransomwaru, nešifruje soubory, ale namísto toho zobrazí falešné varování (vydávající se za zprávu oficiálních úřadů), že na zařízení byla zjištěna nezákonná aktivita a majitel proto musí zaplatit pokutu. Aplikace zároveň oběti znemožní dělat se zařízením cokoliv dalšího, dokud nezaplatí nebo neprovede tovární reset. Druhá možnost však z telefonu smaže veškeré soubory, je proto lepší se předtím připojit k počítači a zálohovat je.

 „Zásadní je, že starší zařízení, která nebyla aktualizována (a nejspíš ani nebudou) posledním Androidem, mohou být vůči této hrozbě zranitelná už napořád,“ uvádí Brandt.

Díra využívající ELFu module.so je ve světě Androidářů už několik měsíců známá jako Towelroot a primárně není škodlivá. Někteří uživatelé ji dokonce účelově využívají k rootování svých zařízení a odblokování některých bezpečnostních opatření či funkcí, které nejsou běžně přístupné.

ICTS24

Jelikož však mohou být snadno zneužity, Google aplikace určené k rootování považuje za potenciálně nebezpečné a jejich instalaci blokuje prostřednictvím funkce Verify Apps (ovládat lze následovně: Google Settings – Security – Scan device for security threats). Nejlepším doporučením je však upgradeování Androida na nejnovější verzi obsahující bezpečnostní patche a vylepšení.

 V případě, že už zařízení aktualizace nepodporuje, uživatelé by podle Googlu měli omezit surfování po internetu a místo defaultního anroidího prohlížeče nainstalovat Chrome.