Экспансия вымогателя, блокирующего Android-устройства и требующего коды подарочных карт iTunes на общую сумму $200, вызывает беспокойство в среде специалистов по ИБ. Атаки этого блокера, по словам экспертов, открыли новую страницу в истории уязвимостей Android и напомнили аналогичную ситуацию с устаревшей, непатченой и лишенной поддержки Windows XP.

«Это новый, тревожный виток для Android OS, — заявил Эндрю Брандт (Andrew Brandt), исследователь из Blue Coat, обнаруживший уязвимость. — Этот вымогатель атакует устаревшие Android-устройства без патчей, которых, видимо, никогда уже не дождаться».

По словам эксперта, новый блокер нацелен на ОС Android 4.x, бывшие в ходу в 2012 и 2013 годах. Тем не менее, согласно Google, эти версии Android до сих пор используют около 60% мобильных устройств по всему миру. Брандт полагает, что Google, как и Microsoft, переставшая раздавать патчи на Windows XP, вряд ли будет латать ОС пятилетней давности.

«В итоге мы имеем полностью работоспособную операционную систему, которая больше не получает обновлений, — констатирует Брандт. — Сам факт ее использования уже грозит заражением. Установка чего-либо без участия пользователя до тех пор, пока не станет слишком поздно, — это весьма тревожный тренд в развитии Android-угроз».

Исследователь рассказал Threatpost, что новый вымогатель использует трехступенчатую схему заражения. Вначале отрабатывает эксплойт для lbxslt, внедренный в рекламные баннеры, которые пока встречаются лишь на порносайтах. Этот эксплойт рассчитан на пользователей Android 4.0.3 и 4.4.4 с дефолтным браузером и был, по свидетельству Брандта, украден у Hacking Team в июле прошлого года. Однако авторы атаки, похоже, используют новую версию, поражающую более широкий спектр мишеней, работающих под Android 4.x.

На втором этапе атаки на скомпрометированное устройство устанавливается Towelroot — утилита для джейлбрейка, некогда весьма популярная у неискушенных пользователей. По свидетельству Кханг Нгуена (Khang Nguyen) из Duo Security, Towelroot позволяла за один клик получить root-доступ к Samsung Galaxy и другим смартфонам, использующим Android 4.4.2.

Исследователь пояснил, что Towelroot, по сути, является эксплойтом к уязвимости CVE-2014-3153 в ядре Linux версий 3.14.5 и ниже. Брешь была обнаружена comex (Николасом Аллегра), а первый эксплойт к ней написал известный хакер geohot (Джордж Хоц). Нгуен не преминул отметить, что Towelroot-эксплойты неоднократно использовались в кибератаках, однако он впервые сталкивается с drive-by, в которой используется Towelroot с полезной нагрузкой.

В данном случае этот эксплойт, по словам Брандта, выполняет две задачи. Прежде всего он блокирует окно разрешений Android, всплывающее при установке программ с Google Play. «Все инсталляции происходят тихо и в фоновом режиме», — подтверждает эксперт. Пользуясь неразличимостью, злоумышленники устанавливают на скомпрометированное устройство вымогателя, именуемого Cyber.Police. Это блокировщик доступа к системе, который отображает слабую имитацию официального предупреждения для любителей порноконтента, написанного от имени «американского агентства национальной безопасности» или «агентства безопасности нации».

«Вымогатель не грозит шифрованием данных (и не шифрует их), — пишет Брандт в своей заметке. — Вместо этого он запирает устройство, и им уже нельзя пользоваться — разве что отослать злоумышленникам выкуп в виде кодов двух подарочных карт Apple iTunes по $100».  Жертву уверяют, что «штраф» в такой странной форме якобы непременно попадет на некий «казначейский счет».

Со слов Брандта, удалить данного зловреда лучше всего откатом Android-устройства до заводских настроек. «В ходе исполнения приложения… мы узнали внутреннее имя зловреда — net.prospectus, — пишет далее исследователь. — Он ведет себя вполне ожидаемо для вымогателя: принудительно завершает исполнение других приложений, предотвращает их запуск и попытки остановить его работу. Он также обеспечивает себе приоритетный запуск при каждой загрузке, составляет профиль зараженного устройства и ведет обмен с командным сервером».

Лучший способ избавиться от данной уязвимости, считает Нгуен, — перейти на устройство с версией Android выше четвертой. Blue Coat также рекомендует регулярно создавать резервные копии и хранить их на отдельном носителе. «В этом случае можно спокойно произвести откат до заводских настроек, не боясь потерять что-нибудь, кроме времени, которое придется потратить на восстановление настроек и повторную установку приложений», — отметил в заключение Брандт.

Категории: Аналитика, Вредоносные программы