Análisis de amenazas

Metaphor: Una continuación de Stagefright que pone a millones de dispositivos Android en riesgo

Nikolaos Chrysaidos, 13 abril 2016

El verano pasado era casi imposible evitar ver noticias sobre Stagefright. Metaphor es un nuevo exploit que permite aprovechar dicha vulnerabilidad.

El verano pasado, era casi imposible evitar ver noticias sobre la vulnerabilidad Stagefright. En el momento de su descubrimiento, los investigadores de seguridad creyeron que era la peor vulnerabilidad de Android descubierta hasta el momento. Casi un año después de su hallazgo, Metaphor es un nuevo exploit que permite aprovechar dicha vulnerabilidad.

La ingeniería social, una técnica muy utilizada para infectar a víctimas con malware, puede jugar un papel importante a la hora de incitar a las víctimas a abrir páginas web que permitan que el exploit Metaphor se ponga en funcionamiento.

Estos métodos pueden incluir popups y enlaces en páginas maliciosas o páginas que hayan sido hackeadas, así como en páginas de confianza que contiene contenido malicioso. Metaphor también puede entrar en funcionamiento cuando los usuarios se conectar a redes Wi-Fi inseguras o al escanear un código QR que anuncia un juego o aplicación de apariencia inocente.

Metaphor utiliza la misma librería Android (libstagefright) que la vulnerabilidad original Stagefright, pero la implementación es diferente. Para explotar la vulnerabilidad, el equipo de NorthBit utilizó un método diferente a Stagefright. Su implementación implica la explotación de CVE-2015-3864 y el Address Space Layout Randomisation (ASLR). ASLR es una tecnología utilizada para bloquear la ejecución de shellcode.

Una de las características más significativa (y temible) de Metaphor es su habilidad de afectar a un gran porcentaje de dispositivos Android. La implementación del exploit Metaphor puede afectar a dispositivos Android 5.0-5.1 y, en general, puede afectar virtualmente al 36.1% de dispositivos Android. Me refiero a “virtualmente afectados” dado que el exploit no está implementado para funcionar universalmente. Cada explotación es única en cada dispositivo, es por eso que se necesitan pequeñas modificaciones en el código para afectar a un dispositivo en concreto.

Parsing de Metaphor

Parsing es el proceso de recuperar metadatos como el título, nombre del artista, subtítulos, comentarios, etc. Como en Stagefright de Joshua Drake, Metaphor se centra en bugs específicos en la librería Stagefright de Android (libstagefright). Estos bugs pueden encontrarse en la sección de metadatos del código que se incluye en libstagefright. El vector de ataque de Metaphor es a través de la ejecución de JavaScript a través de un navegador web. La víctima debe abrir una página web creada a propósito que ejecuta JavaScript. Entonces, JavaScript analizará los metadatos del dispositivo y causará un desbordamiento de heap.

Entonces, ¿cuál es la diferencia con Stagefright? La diferencia principal es la derivación del Address Space Layour Randomisation (ASLR). Un ataque necesitará información específica del dispositivo para derivar el ASLR. Una gran base de datos de dispositivos Android puede incrementar el número de dispositivos vulnerables al ataque.

¿Cómo me protejo de Metaphor?

La mutación de malware móvil está siendo un tópico más y más común. Para evitar entrar en contacto con Metaphor (y otros exploits), es crucial que las personas y empresas utilicen el sentido común al utilizar dispositivos móviles. En general, es buena idea tomar las siguientes precauciones:

  • Asegurarse de instalar todas las correcciones de seguridad OTA que envía el proveedor.
  • No abrir emails ni enlaces que provengan de desconocidos.

Para un análisis más profundo de Metaphor, lee el informe de NorthBit.