Експлойт «Метафора» атакує Android

Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про високу активність загрози, яка використовує уразливість Stagefright та інфікує бібліотеку Android, здійснюючи аналіз її мультимедійних файлів.

З даним способом використання уразливості пристроїв ізраїльські дослідники зіштовхнулися ще минулого року. Тоді ж було виявлено, що кіберзлочинці можуть скористатися шкідливим кодом через інфікований веб-сайт, або шкідливі MMS-повідомлення з метою крадіжки інформації. Однак існує безкоштовний інструмент для захисту користувачів від злочинців.

Останній аналіз показав, що експлойт, названий «Метафора», має ще більші можливості для використання уразливості Android. Мільйонам пристроїв загрожує небезпека у зв'язку з виключенням функцій самозахисту. Ця загроза може бути активована на Android 2.2 до 4.0 і 5.0 до 5.1. Більше того, в останніх версіях експлойт може уникати ASLR («рандомізації адресного простору»), що використовується для перешкоджання атакам переповненого буферу експлойта.

Процес інфікування складається з різних етапів. Спочатку жертва потрапляє на шкідливий веб-сайт, який відсилає відео на пристрій. Воно руйнує мультимедійний сервер операційної системи з метою скидання її налаштувань. JavaScript на сторінці очікує на перезавантаження медіасерверу, а потім передає інформацію про пристрій через Інтернет до віддаленого сервера зловмисника. Цей сервер створює відеофайл користувача та відправляє його на пристрій, який використовує Stagefright, для виявлення більшої кількості інформації про пристрій. Після цього дана загроза починає свою шкідливу діяльність та шпигує за користувачем.

Експлойт атакує помилку CVE-2015-3864 навіть без відтворення чи перегляду відео. Він починає працювати, коли веб-браузер шукає та аналізує файл. Тоді як Stagefright є рідною для медіаплеєра програмою на пристроях Android.

«Даний експлойт найкраще працює на пристроях Nexus 5. Він був також протестований на таких пристроях, як HTC One, LG G3 і Samsung S5, хоча діяльність експлойта на цих пристроях дещо відрізнялася», – підсумовує аналіз.

У будь-якому випадку варто пам'ятати про те, що експлойти, створені в тестових середовищах, часто сприймаються як критичні проблеми, але згодом виявляється, що фактичний розмір небезпеки обмежений кількома дуже специфічними сценаріями. Атака також вимагає введення в дію JavaScript через веб-браузер. Дослідники виявили, що цей тип коду має ряд обмежень.

За словами спеціалістів ESET, причин для паніки немає. Користувачам рекомендується бути в курсі останніх новин, завантажувати актуальні патчі та оновлення, а також використовувати надійні антивірусні рішення.