Эксплойт «Метафора» атакует Android

Компания ESET – лидер в области проактивного обнаружения – сообщает о высокой активности угрозы, которая использует уязвимость Stagefright и инфицирует библиотеку Android, осуществляя анализ ее мультимедийных файлов.

С данным способом использования уязвимости устройств израильские исследователи столкнулись еще в прошлом году. Тогда же было обнаружено, что киберпреступники могут воспользоваться вредоносным кодом через инфицированный сайт или вредоносные MMS-сообщения с целью кражи информации. Однако существует бесплатный инструмент для защиты пользователей от преступников.

Последний анализ показал, что эксплойт, названный «Метафора», имеет еще больше возможностей для использования уязвимости Android. Миллионам устройств грозит опасность в связи с выключением функций самозащиты. Эта угроза может быть активирована на Android 2.2 до 4.0 и 5.0 до 5.1. Более того, в последних версиях експлойт может избегать ASLR («рандомизации адресного пространства»), которая призвана предотвращать атаки переполненного буфера эксплойта.

Процесс инфицирования состоит из различных этапов. Сначала жертва попадает на вредоносный веб-сайт, который отсылает видео на устройство. Этим он разрушает мультимедийный сервер операционной системы с целью сброса ее настроек. Сначала JavaScript на странице ждет перезагрузки медиасервера, а затем передает информацию об устройстве через Интернет на удаленный сервер злоумышленника. Этот сервер создает пользовательский видеофайл та отправляет его на устройство, которое использует Stagefright, для выявления большего количества информации об устройстве. После этого данная угроза начинает свою вредоносную деятельность и шпионит за пользователем.

Эксплойт атакует ошибку CVE-2015-3864 даже без воспроизведения или просмотра видео. Он начинает работать, когда веб-браузер ищет и анализирует файл. Stagefright является родным для медиаплеера на устройствах Android.

«Данный эксплойт лучше работает на устройствах Nexus 5. Он был также протестирован на таких устройствах, как HTC One, LG G3 и Samsung S5, хотя деятельность эксплойта на этих устройствах несколько отличалась», – подытоживает анализ.

В любом случае следует помнить о том, что эксплойты, созданные в тестовой среде, часто воспринимаются как очень критические проблемы, но впоследствии оказывается, что фактический размер опасности ограничен несколькими очень специфическими сценариями. Атака также требует введения в действие JavaScript через веб-браузер. Исследователи обнаружили, что этот тип кода имеет ряд ограничений.

По словам специалистов ESET, причин для паники нет. Пользователям рекомендуется быть в курсе последних новостей, загружать актуальные патчи и обновления, а также использовать надежные антивирусные решения.