Kaspersky Lab: visite seu site favorito com uma versão antiga do Android e seja infectado automaticamente

São Paulo, 11 de maio– A infecção de um dispositivo Android é algo muito mais complexa para os criminosos do que a de um computador Windows. Cibercriminosos brasileiros exploram, desde 2011, vulnerabilidades no Windows e em diversos aplicativos dessa plataforma para executar códigos maliciosos sem qualquer interação com o usuário, em um ataque chamado de “drive-by-download”. Isto não acontecia com o Android, pois a instalação de aplicativos necessita da confirmação do proprietário do dispositivo. Porém, os pesquisadores da Kaspersky Lab identificaram um golpe que usa vulnerabilidades no sistema do Google para ignorar essa restrição e infectar a vítima automaticamente.

Ao observar a atividade dos vários grupos de cibercriminosos, os especialistas da Kaspersky Lab encontraram atividades incomuns de um script malicioso em um site infectado. Normalmente, estes ataques tentam ativar o download de exploits do Flash para infectar usuários de Windows. No entanto, em algum momento o golpe foi alterado para verificar o tipo de dispositivo que a vítima está usando, procurando especificamente por equipamentos com a versão 4 do Android e outras versões mais antigas.

O primeiro script (conjunto de instruções especiais para execução no navegador) foi descoberto enquanto os pesquisadores procuravam dispositivos que operam com versões antigas do sistema operacional Android. Dois outros scripts suspeitos foram detectados posteriormente: um era capaz de enviar SMS para qualquer número de celular, enquanto o outro baixava um trojan no cartão SD do dispositivo atacado para interceptar e enviar mensagens SMS. Ambos os scripts maliciosos conseguem executar suas ações sem depender da interação com o usuário. Basta que ele visite ocasionalmente um site comprometido para ser infectado.

Cibercriminosos estão usando exploits para explorar, especialmente, as vulnerabilidades CVE-2012-6636, a CVE-2013-4710 e CVE-2014-1939, que estão presentes nas versão do Android 4.1.x e anteriores. Elas já foram corrigidas pelo Google entre 2012 e 2014, mas devido às características do ecossistema do sistema operacional, muitos fabricantes que usam o Android são lentos nas atualizações de segurança necessárias. Alguns nem lançam atualizações por causa da obsolescência técnica de determinados modelos de dispositivo.

“As técnicas de exploração que descobrimos em nossa pesquisa não são novas, mas reutilizavam provas de conceito (PoC) feitas por pesquisadores “white hat”. Nossa pesquisa demonstra que os fornecedores de dispositivos Android devem entender que, após a publicação de um PoC, inevitavelmente, irão aparecer exploits utilizando as novas técnicas. Os usuários desses dispositivos devem ser protegidos com as atualizações de segurança adequadas, mesmo que eles não sejam mais comercializados na época”, afirma Fabio Assolini, especialista de segurança da Kaspersky Lab no Brasil.

Para se proteger desse golpe, os especialistas da Kaspersky Lab listaram alguns conselhos:

1) Atualize a versão do Android em seu dispositivo e mantenha ativado a atualização automática;

2) Restrinja a instalação de aplicativos de fontes alternativas ao Google Play, especialmente os usuários que administram vários dispositivos em uma rede corporativa;

3)Use uma solução de segurança conhecida. O Kaspersky Internet Security for Android e o Kaspersky Security for Mobile com gerenciamento de dispositivos móveis conseguem detectar em tempo real qualquer alteração no cartão SD do dispositivo e, assim, proteger o usuário dos ataques de execução descritos acima.

Leia mais sobre os ataques de execução contra dispositivos Android em Securelist.com.