Osservando l’attività di diversi gruppi di cyber criminali, i ricercatori di Kaspersky Lab hanno rilevato un’attività insolita all’interno di uno script dannoso, in un sito infetto, che mette in pericolo gli utenti Android. Solitamente lo script effettua il download di exploit Flash per colpire gli utenti Windows. Tuttavia a un certo punto è stato modificato in modo da poter verificare la versione del sistema operativo utilizzata dalla vittima, cercando in particolare la versione 4 o quelle precedenti di Android e gli esperti di Kaspersky Lab hanno deciso di approfondire la situazione.
Per i criminali è più difficile infettare un dispositivo Android che un PC Windows. Il sistema operativo Windows e molte sue applicazioni diffuse contengono vulnerabilità che permettono l’esecuzione del codice malevolo senza nessuna interazione con l’utente. Questo invece non è il caso del sistema operativo Android, dove l’installazione di qualsiasi applicazione richiede la conferma da parte del proprietario del dispositivo Android, tuttavia le vulnerabilità nel sistema operativo possono essere sfruttare per superare questa restrizione e questo succede come è stato dimostrato dai nostri esperti durante la loro analisi.
Lo script è un insieme di istruzioni speciali per l’esecuzione nel browser, integrate nel codice del sito Web infetto. Il primo script è stato scoperto mentre si cercavano dispositivi che utilizzavano le vecchie versioni di Android OS. In seguito sono stati rilevati altri due script sospetti. Il primo è in grado di inviare SMS a qualsiasi numero di cellulare, mentre l’altro crea dei file nocivi sulla scheda SD del device colpito. Il file dannoso è un Trojan che può intercettare e inviare messaggi SMS. Entrambi gli script nocivi possono eseguire azioni indipendentemente dall’utente Android: bisognerebbe solo visitare un sito infetto per essere compromessi.
Questo è stato possibile perchè i cyber criminali hanno usato exploit per molte vulnerabilità nelle versioni 4.1 x e più vecchie di Android – in particolare – CVE-2012-6636, CVE-2013-4710 e CVE-2014-1939. Tra il 2012 e il 2014, Google ha rilasciato le patch per tutte e tre le vulnerabilità, ma c’è ancora il rischio che possano essere sfruttate. Per esempio, grazie alle caratteristiche dell’ecosistema Android, molti vendor che producono dispositivi basati su Android stanno rilasciando troppo lentamente gli aggiornamenti di sicurezza necessari. Alcuni non li rilasciano a causa dell’obsolescenza tecnica di un particolare modello di dispositivo.
