Utpressingsvare installerer seg selv i litt eldre Android

Spres gjennom annonser på nettet.

Android-figurer. Skummel. Sint.
Android-figurer. Skummel. Sint. Bilde: Adam Berry/Getty Images/All Over Press
Harald BrombachHarald BrombachNyhetsleder
26. apr. 2016 - 09:04

Det har, trolig for første gang, blitt oppdaget skadevare som er i stand til å installere seg selv i Android uten at brukeren behøver å gjøre annet enn å besøke et nettsted. Ved hjelp av JavaScript i en annonse skal en enhet med CyanogenMod-utgaven av Android 4.2.2 automatisk ha blitt utsatt for utpressingsvare, som har blitt installert helt uten den vanlige forespørselen om tillatelser.

Dette skriver sikkerhetsselskapet Blue Coat i et blogginnlegg, som også er omtalt av Ars Technica.

Den berørte enheten er en testenhet i selskapets lab, men skadevaren, som beskrives som et «exploit kit», utnytter sårbarheter som finnes i mange eldre Android-enheter som ikke lenger blir oppdatert.

KitKat og eldre

Trolig er de fleste eller alle utgaver av Android 4.x-generasjonen berørt, med mindre enhetene har mottatt separate sikkerhetsoppdateringer i fram til ganske nylig.

Skadevaren, som er merket med navnet Cyber.Police, utnytter flere sårbarheter i systemet – stort sett sårbarheter som allerede er velkjente og som det allerede finnes angrepskode til. Men den nye skadevaren benytter altså «drive-by»-installering ved hjelp av JavaScript.

Dette JavaScript-angrepet setter i gang et nytt angrep som er rettet mot biblioteket libxslt. Koden til det sistnevnte skal ha blitt offentliggjort i forbindelse med at italienske The Hacking Team selv ble hacket i fjor.

Ikke kryptering

Skadevaren skal også inneholde ytterligere en angrepskode, kalt Towelroot eller futex. Denne skal ha første gang ha blitt observert i slutten av 2014. I dette tilfellet inneholdt Towelroot kode som lastet ned en Android-installasjonsfil (.apk) som inneholder en trojaner som riktignok ikke krypterer innholdet på enheten, men som setter den i en låst tilstand hvor den ikke kan brukes til annet enn å levere betaling til bakmennene i form av to Apple iTunes-gavekoder på 100 dollar.

Det sistnevnte omtales av Blue Coat som uvanlig, da bruken av slike gavekoder kan være langt mer sporbar enn for eksempel kryptovalutaen Bitcoin.

Nærmere ti prosent av Android-enhetene som besøkte digi.no de siste 30 dagene, benytter en eldre versjon av Android enn 5.0, som ble utgitt i oktober 2014. Men mange enheter med Android 4.x har aldri blitt oppdatert til Android 5.x.

Mange billigere enheter som ble utgitt i 2015, ble dessuten levert med Android 4.x.

Les flere detaljer om skadevaren i dette blogginnlegget.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.