在对多个网络犯罪组织的行为进行监测过程中,卡巴斯基实验室的研究人员在一个受感染网站上发现一种恶意脚本具有不同寻常的行为,导致安卓用户面临风险
在对多个网络犯罪组织的行为进行监测过程中,卡巴斯基实验室的研究人员在一个受感染网站上发现一种恶意脚本具有不同寻常的行为,导致安卓用户面临风险。这一脚本一半会激活Flash漏洞利用程序下载,从而对Windows用户进行攻击。但是,某些情况下,这种脚本可以检查受害者使用的设备类型,查找用户设备的安卓版本,尤其是安卓4或更早的版本。发现这一危险行为后,卡巴斯基实验室安全专家决定深度挖掘其背后的意义。
对网络罪犯来说,要感染安卓设备,比感染普通的Windows计算机要困难得多。Windows操作系统以及该平台下的很多应用程序,都包含漏洞,允许恶意代码在无需用户干预的情况下自己执行。但是,安卓操作系统一般不会遇到这种情况,因为安卓平台下安装任何应用,都需要安卓设备的使用者确认。但是,这种操作系统下的漏洞也可能被利用,从而绕过这种限制。我们的研究人员在调查中,的确发现了这种情况。
这种脚本是一组可以在浏览器内执行的特殊指令集,被嵌入到受感染网站的代码中。第一个脚本是在其查找使用较老版本安卓操作系统设备时被发现的。之后,我们又发现了两个恶意脚本。第一个脚本能够像任何手机号码发送短信,而另外一个脚本则可以在被攻击的设备的SD卡中创建恶意文件。其创建的文件是一种木马,能够拦截和发送短信。这两种恶意脚本都可以在没有用户干预的情况下,自主进行操作。用户只要访问受感染网站,就会被感染。
攻击者之所以能够成功进行攻击,是因为他们利用了安卓4.1.x版和更早版本中存在的多个漏洞,尤其是CVE-2012-6636、CVE-2013-4710和CVE-2014-1939漏洞。Google公司在2012年至2014年期间,分别修补了上述三个漏洞。但是,这些漏洞被利用的风险仍然存在。例如,由于安卓生态系统的特点,很多生产基于安卓设备的供应商在发布安全更新时,速度通常很慢。有些厂商甚至不会发布安全更新,因为有些特定型号的设备已经早过时了。
“这次调查中发现的漏洞利用技术并不新颖,只是借用了之前白帽研究人员发表的概念验证。这表明,安卓设备的供应商应当意识到很多概念验证最终都不可避免地变成具有攻击能力的漏洞利用程序。使用这些设备的用户应当得到相应的安全更新的保护,即使这些设备当时已经不再销售,”卡巴斯基实验室安全专家Victor Chebyshev说。
要保护自己不遭遇路过式下载攻击,卡巴斯基实验室建议采取以下安全措施:
- 开启自动更新功能,确保基于安卓的设备软件保持更新;
- 限制从Google Play之外的第三方来源安装应用,尤其是在企业网络中管理多台设备时;
- 使用可靠的安全解决方案。卡巴斯基安全软件安卓版和具有移动设备管理功能的卡巴斯基网络安全解决方案―移动安全能够实时检测SD卡设备上的变化,帮助用户抵御上述提到的路过式下载攻击。
要了解更多关于安卓设备上的路过式下载攻击详情,请访问Securelist.com
