Drive-by activo explota errores críticos para Android

Share this…

Un ataque drive-by en curso está obligando a instalar ransomware en los teléfonos inteligentes Android mediante la explotación de vulnerabilidades críticas en versiones anteriores del sistema operativo móvil de Google, el cual se encuentra todavía en uso por millones de personas, según un estudio.

El ataque combina la explotación de al menos dos vulnerabilidades críticas contenidas en las versiones de Android 4.0 a 4.3, incluyendo un exploit conocido comoTowelroot, lo que da a los atacantes acceso sin restricciones a la “raíz” de los teléfonos vulnerables. El código de explotación parece pedir prestados, si no es que copiar directamente, algunas secuencias de comandos de ataque Android que salieron al mundo después de la violación al Hacking Team con sede en Italia en julio del año pasado. Datos adicionales indican que los dispositivos con Android 4.4 también pueden ser infectados, posiblemente mediante la explotación de un conjunto diferente de vulnerabilidades.
cyberpolice-ransomware
Es la primera vez, o al menos de las pocas veces, que las vulnerabilidades en Android han sido explotadas en el mundo real por los ataques drive-by. Durante años, la mayoría del malware para Android se ha extendido por las campañas de ingeniería social que engañan a un usuario para que instale una aplicación maliciosa que se presenta como algo útil y benigna. El ataque Drive-By que ha estado activo durante al menos los últimos 60 días y fue descubierto por la firma de seguridad de Blue Coat Systems, es notable porque resulta ser completamente sigiloso y no requiere intervención del usuario. Los resultados de la compañía han sido publicados aquí.
“Este ataque es potente ya que aprovecha las vulnerabilidades de software que se instala por defecto para que después se tome a escondidas el control total del dispositivo de la víctima. Por lo que yo sé, este ataque representa la primera vez en estado salvaje de un ataque drive-by-download que explota una cadena de vulnerabilidades dirigido a los usuarios de Android. Aunque este ataque utiliza vulnerabilidades antiguas, representa un cambio en las tácticas utilizadas en el espacio de Android por los actores maliciosos”, dijo Joshua Drake, vicepresidente de la plataforma de investigación y explotación en el Zimperium.
La evaluación de Drake se basó en su revisión de código, que fue entregado cuando una tableta de Samsung con Android 4.2.2 en el laboratorio de Blue Coat se infectó después de ver un anuncio malicioso enviado de un sitio de pornografía. Los datos de los registros de Blue Coat indican que al menos 224 dispositivos Android con Android 4.x, incluyendo 4.4, pueden haber sido infectados. Los teléfonos estaban conectados a 77 redes empresariales diferentes protegidas por un servicio de seguridad de Blue Coat, por lo que los datos probablemente reflejan sólo una pequeña fracción del número total de infecciones en general por internet.
Fuente:https://www.seguridad.unam.mx/