Osservando l’attività di diversi gruppi di cyber criminali, i ricercatori di Kaspersky Lab hanno rilevato un’attività insolita all’interno di uno script dannoso, in un sito infetto, che mette in pericolo gli utenti Android. Solitamente lo script effettua il download di exploit Flash per colpire gli utenti Windows. Tuttavia a un certo punto è stato modificato in modo da poter verificare la versione del sistema operativo utilizzata dalla vittima, cercando in particolare la versione 4 o quelle precedenti di Android e gli esperti di Kaspersky Lab hanno deciso di approfondire la situazione.
Per i criminali è più difficile infettare un dispositivo Android che un PC Windows. Il sistema operativo Windows e molte sue applicazioni diffuse contengono vulnerabilità che permettono l’esecuzione del codice malevolo senza nessuna interazione con l’utente. Questo invece non è il caso del sistema operativo Android, dove l’installazione di qualsiasi applicazione richiede la conferma da parte del proprietario del dispositivo Android, tuttavia le vulnerabilità nel sistema operativo possono essere sfruttare per superare questa restrizione e questo succede come è stato dimostrato dai nostri esperti durante la loro analisi.
Lo script è un insieme di istruzioni speciali per l’esecuzione nel browser, integrate nel codice del sito Web infetto. Il primo script è stato scoperto mentre si cercavano dispositivi che utilizzavano le vecchie versioni di Android OS. In seguito sono stati rilevati altri due script sospetti. Il primo è in grado di inviare SMS a qualsiasi numero di cellulare, mentre l’altro crea dei file nocivi sulla scheda SD del device colpito. Il file dannoso è un Trojan che può intercettare e inviare messaggi SMS. Entrambi gli script nocivi possono eseguire azioni indipendentemente dall’utente Android: bisognerebbe solo visitare un sito infetto per essere compromessi.
Questo è stato possibile perchè i cyber criminali hanno usato exploit per molte vulnerabilità nelle versioni 4.1 x e più vecchie di Android – in particolare – CVE-2012-6636, CVE-2013-4710 e CVE-2014-1939. Tra il 2012 e il 2014, Google ha rilasciato le patch per tutte e tre le vulnerabilità, ma c’è ancora il rischio che possano essere sfruttate. Per esempio, grazie alle caratteristiche dell’ecosistema Android, molti vendor che producono dispositivi basati su Android stanno rilasciando troppo lentamente gli aggiornamenti di sicurezza necessari. Alcuni non li rilasciano a causa dell’obsolescenza tecnica di un particolare modello di dispositivo.
“Le tecniche di exploit che abbiamo rilevato durante la nostra ricerca non erano nuove ma prese in prestito da proof of concept, precedentemente pubblicati dai ricercatori. Questo significa che i vendor di dispositivi Android dovrebbero tenere in considerazione il fatto che la pubblicazione di PoC potrebbe inevitabilmente portare alla comparsa di exploit ‘armati’. Gli utenti di questi dispositivi devono essere protetti grazie ai corrispondenti aggiornamenti di sicurezza, anche se questi dispositivi non sono più in vendita”, ha dichiarato Morten Lehn, General Manager di Kaspersky Lab Italia.
Per proteggersi dagli attacchi drive-by, gli esperti di Kaspersky Lab consigliano di:
- mantenere aggiornato il software del vostro dispositivo Android, grazie alla funzione di update automatico
- limitare l’installazione di applicazioni da fonti diverse da Google Play, in particolare se vengono gestiti diversi dispositivi utilizzati all’interno delle reti aziendali
- utilizzare una soluzione di sicurezza affidabile. Kaspersky Internet Security for Android e Kaspersky Security for Mobile con Mobile Device Management possono rilevare cambiamenti sulla SD-card del dispositivo in tempo reale e proteggere gli utenti dagli attacchi drive-by descritti.
Maggiori informazioni sugli attacchi drive-by contro i dispositivi Android sono disponibili su Securelist.com