Malvertising-Angriff infiziert alte Android-Geräte automatisch mit Ransomware

Angreifer nutzen zwei bekannte Exploits, um Ransomware auf älteren Android-Geräten automatisch zu installieren, wenn ihre Besitzer Websites besuchen, die schädliche Werbung laden.

Webbasierte Angriffe, die Schwachstellen in Browsern oder deren Plug-ins ausnutzen Ins Installieren von Malware sind auf Windows-Computern üblich, aber nicht auf Android, wo das Anwendungssicherheitsmodell stärker ist.

Forscher von Blue Coat Systems haben kürzlich den neuen Android-Drive-by-Download-Angriff entdeckt, als eines ihrer Testgeräte - ein Samsung-Tablet mit CyanogenMod 10.1 auf Android 4.2.2 - wurde mit Ransomware infiziert nach dem Besuch einer Webseite, die eine Malici angezeigt ous ad.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Dies ist das erste Mal, dass ein Exploit-Kit erfolgreich schädliche Apps auf einem mobilen Gerät installieren konnte Nutzerinteraktion seitens des Opfers ", sagte Andrew Brandt, Leiter der Bedrohungsforschung bei Blue Coat, in einem Blogbeitrag am Montag. "Während des Angriffs zeigte das Gerät nicht das normale Dialogfeld für die Anwendungsberechtigungen an, das normalerweise der Installation einer Android-Anwendung vorausgeht."

Eine weitere Analyse mit Hilfe von Zimperium ergab, dass die Anzeige JavaScript-Code enthielt, der ausgenutzt wurde eine bekannte Schwachstelle in libxslt. Dieser libxslt-Exploit gehörte zu den Dateien, die letztes Jahr vom Surveillance-Softwarehersteller Hacking Team durchgesickert wurden.

Bei Erfolg legt der Exploit eine ELF-Programmdatei mit dem Namen module.so auf das Gerät, die wiederum eine andere Sicherheitslücke ausnutzt, um Root-Zugriff zu erhalten Privileg auf dem System. Der von module.so verwendete Root-Exploit wird als Towelroot bezeichnet und im Jahr 2014 veröffentlicht.

Nachdem das Gerät kompromittiert wurde, lädt Towelroot eine APK-Datei (Android Application Package) herunter und installiert sie still, die eigentlich ein Ransomware-Programm namens Dogspectus oder Cyber ​​ist. Police.

Diese Anwendung verschlüsselt keine Benutzerdateien, wie andere Ransomware-Programme heutzutage. Stattdessen wird eine gefälschte Warnung angezeigt, angeblich von Strafverfolgungsbehörden, die besagt, dass illegale Aktivitäten auf dem Gerät erkannt wurden und der Besitzer eine Geldbuße zahlen muss.

Die Anwendung blockiert die Opfer davon, etwas anderes auf dem Gerät zu tun, bis sie zahlen oder führen Sie einen Werksreset durch. Die zweite Option löscht alle Dateien vom Gerät, daher ist es am besten, das Gerät mit einem Computer zu verbinden und als erstes zu speichern.

"Die standardisierte Implementierung von Hacking Team und Towelroot nutzt Malware zur automatisierten Installation auf Android-Mobilgeräten Exploit Kit hat einige schwerwiegende Folgen ", sagte Brandt. "Das Wichtigste ist, dass ältere Geräte, die nicht mit der neuesten Version von Android aktualisiert wurden (und wahrscheinlich auch nicht aktualisiert werden), auf Dauer anfällig für diese Art von Angriffen bleiben."

Exploits wie Towelroot sind nicht implizit bösartig. Einige Benutzer verwenden sie gerne, um ihre Geräte zu rooten, um Sicherheitseinschränkungen zu entfernen und Funktionen freizuschalten, die normalerweise nicht verfügbar sind.

Da Malware-Ersteller solche Exploits jedoch für bösartige Zwecke verwenden können, betrachtet Google Rooting-Apps als potenziell schädlich und blockiert sie Installation über eine Android-Funktion namens Verify Apps. Benutzer sollten diese Funktion unter Einstellungen> Google> Sicherheit> Gerät auf Sicherheitsbedrohungen überprüfen aktivieren.

Es wird immer empfohlen, ein Gerät auf die neueste Android-Version zu aktualisieren, da neuere Versionen des Betriebssystems Sicherheitslücken und andere Sicherheitsverbesserungen enthalten. Wenn ein Gerät nicht mehr unterstützt wird und keine Updates mehr erhält, sollten Benutzer ihre Web-Browsing-Aktivitäten darauf beschränken.

Auf älteren Geräten sollten sie einen Browser wie Chrome anstelle des Standard-Android-Browsers installieren.