Исследователи в области информационной безопасности обнаружили, что популярная библиотека мобильной рекламы для Android, доступная в Google Play, может использоваться для сбора информации об устройстве или исполнения вредоносного кода.

Специалисты компании FireEye заявили, что самый тревожный аспект их открытия состоит в том, что около 2% Android-приложений с более чем 1 млн загрузок в Google Play используют эту библиотеку и эти приложения был загружены суммарно более чем 200 млн раз.

Исследователи не раскрывают названия библиотеки, но утверждают, что известили как ее поставщика, так и Google и обе организации в данный момент решают эту проблему.

Библиотеки мобильной рекламы позволяют приложениям демонстрировать рекламные баннеры, и обычно они ограничиваются сбором с устройств номеров IMEI и IMSI. Но эта библиотека, условно названная Vulna специалистами FireEye, способна на более серьезные действия: она может запускать на устройстве произвольный код и извлекать текстовые сообщения, контакты и журналы вызовов.

«В Vulna [также] есть несколько различных уязвимостей, — сообщили исследователи из FireEye. — Эти уязвимости позволяют злоумышленнику применить опасную функциональность Vulna для выполнения вредоносных действий, таких как включение камеры и захват изображения с нее без уведомления пользователя, кража двухфакторных токенов аутентификации, высланных через SMS, или превращение устройства в члена ботнета».

Одна из уязвимостей, обнаруженная FireEye, заключается в передаче приватной информации пользователя в виде простого текста по протоколу HTTP, что позволяет злоумышленнику читать ее. Библиотека также использует HTTP для получения команд от своего сервера управления. «Злоумышленник может превратить Vulna в ботнет, перехватив ее HTTP-трафик и отправляя вредоносные команды и код», — заявили исследователи.

Также имеется Java-уязвимость в методе использования WebView. Она позволяет злоумышленнику запускать вредоносные java-скрипты. Все эти возможности в сочетании с полномочиями, запрашиваемыми этой библиотекой (такими как управление камерой и доступ к SMS-сообщениям), могут дать злоумышленнику несколько вариантов на выбор: выполнить фишинговую атаку, украсть деньги с помощью вызовов и SMS-сообщений на премиум-номера или похитить личные данные пользователя, такие как фотографии, пароли и история посещений веб-сайтов.

Исследователи сообщили, что эта библиотека подвергает устройство множеству опасностей, включая атаку man-on-the-middle через публичные точки доступа Wi-Fi или даже атаку перехватом DNS, при которой мобильный браузер устройства будет перенаправлен на сервер, контролируемый злоумышленниками.

Что еще хуже, действия библиотеки трудно отследить, так как команды, получаемые ею от сервера управления, закодированы не в теле, а в полях заголовка HTTP-пакета. Ее исходный код весьма запутан, что затрудняет, по словам исследователей, анализ поведения библиотеки.

«В одной популярной игре Vulna запускается только в определенные моменты, такие как достижение определенного уровня», — сообщили исследователи, добавив, что все вредоносные действия выполняются в фоновом режиме, не привлекая внимания пользователя.

FireEye предупреждает, что вредоносные рекламные библиотеки, такие как Vulna, несут в себе угрозы, особенно для компаний, позволяющих своим сотрудникам пользоваться сетевыми ресурсами через их личные устройства.

«Эти рекламные библиотеки подозрительно агрессивны в сборе важных данных пользователя и содержат возможности для выполнения опасных действий. В них также имеются уязвимости различных классов, которые позволяют злоумышленникам применить их агрессивное поведение во вред пользователям, — сообщили в FireEye. — Разработчики приложений, использующие сторонние библиотеки подобного рода, часто не подозревают об их проблемах с безопасностью».

 

Изображение любезно предоставлено Tuono Touji.

Категории: Вредоносные программы, Уязвимости