13. maijs, 2016

Vecas Android ierīces apdraud automātiski lejupielādēta un izpildīta ļaunprogrammatūra

Novērojot vairāku kibernoziedznieku grupu darbību, Kaspersky Lab pētnieki ir pamanījuši neparastu ļaunskripta aktivitāti inficētā mājaslapā, kas apdraud Android lietotājus. Parasti šis skripts aktivizē Flash mūķu lejupielādi, lai uzbruktu Windows lietotājiem, taču kaut kad tas ir mainīts, lai tas varētu pārbaudīt, kāda veida ierīci lieto tā upuri, meklējot tieši Android 4. versiju un vecākas. Saskatījuši briesmas, Kaspersky Lab speciālisti nolēma papētīt dziļāk.
Noziedzniekiem ir daudz grūtāk inficēt Android pārvaldītu ierīci nekā Windows datoru. Operētājsistēma Windows un daudzas plaši izplatītas tai paredzētās lietotnes satur ievainojamības, kas ļauj izpildīt ļaunkodu bez jebkādas mijiedarbības ar lietotāju. Operētājsistēmā Android tā parasti nenotiek, jo katras lietotnes instalēšana pieprasa Android ierīces īpašnieka apstiprinājumu. Tomēr operētājsistēmas ievainojamības var izmantot, lai apietu šo ierobežojumu. Un mūsu pētnieki izmeklēšanas gaitā noskaidroja, ka tas arī tiek darīts.
Šis skripts ir inficētās mājaslapas kodā iekļauts īpašu norādījumu kopums izpildīšanai pārlūkā. Pirmais skripts tika atklāts, kad tas meklēja ierīces ar operētājsistēmas Android vecajām versijām. Vēlāk tika konstatēti vēl divi aizdomīgi skripti. Pirmais spēj nosūtīt īsziņu uz jebkuru mobilā tālruņa numuru, bet otrais veido ļaundatnes uzbrukumam pakļautās ierīces SD kartē. Šī ļaundatne ir Trojas zirgs, kas spēj pārtvert un nosūtīt īsziņas. Abi ļaunskripti spēj veikt darbības neatkarīgi no Android lietotāja — lai būtu apdraudēts, jums tikai šad tad jāapmeklē inficētā mājaslapa.
Tas ir kļuvis iespējams tāpēc, ka kibernoziedznieki ir izmantojuši mūķus vairākām Android versiju 4.1.x un vecāku ievainojamībām, jo īpaši CVE-2012-6636, CVE-2013-4710 un CVE-2014-1939. No 2012. līdz 2014. gadam Google ir aizlāpījis visas trīs ievainojamības, bet to izmantošanas risks joprojām pastāv. Piemēram, Android ekosistēmas īpašību dēļ daudzi piegādātāji, kas ražo Android pārvaldītas ierīces, pārāk lēni izlaiž nepieciešamos drošības atjauninājumus. Daži vispār neizlaiž atjauninājumus noteiktiem ierīces modeļiem, kas ir tehniski novecojuši.
«Izmantošanas paņēmieni, ko mēs konstatējām pētījuma gaitā, nebija jauni, bet aizgūti no koncepciju pierādījumiem, ko agrāk publicējuši baltie hakeri. Tas nozīmē, ka Android ierīču piegādātājiem ir jāņem vērā fakts, ka koncepciju pierādījumu publicēšana neizbēgami noved pie attiecīgi bruņotu mūķu parādīšanās. Šo ierīču lietotāji ir pelnījuši aizsardzību ar atbilstošiem drošības atjauninājumiem, pat ja tajā laikā šīs ierīces vairs netiek pārdotas,» sacīja Kaspersky Lab drošības eksperts Viktors Čebiševs.
Lai pasargātu sevi no saistītās lejupielādes uzbrukumiem (drive-by attacks), Kaspersky Lab speciālisti iesaka rīkoties šādi.

  • Izmantojiet jaunāko Android ierīces programmatūru, izvēloties automātisko atjauninājumu funkciju.
  • Liedziet instalēt lietotnes no Google Play alternatīviem avotiem, jo īpaši, ja jūs pārvaldāt ierīču kopumu, kas tiek izmantots uzņēmumu tīklos.
  • Lietojiet pārbaudītu drošības risinājumu. Kaspersky Internet Security for Android un Kaspersky Security for Mobile ar Mobile Device Management spēj reāllaikā konstatēt pārmaiņas ierīces SD kartē un tādējādi aizsargāt lietotājus no iepriekš aprakstītajiem saistītās lejupielādes uzbrukumiem.

Lasiet vairāk par saistītās lejupielādes uzbrukumiem Android ierīcēm tīmekļa vietnē Securelist.com.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda