Анализ угроз

Новый эксплойт Metaphor: последователь нашумевшего Stagefright, потенциально угрожающий миллионам Android-устройств

Sergey Denisov, 12 апреля 2016

Совсем недавно была обнаружена серьезная уязвимость мобильных устройств – Metaphor, и о ней говорят не иначе, как о Домокловом мече, нависшем над миллионами пользователей устройств с ОС Android.

Прошлым летом новостные ленты пестрели заголовками о новом биче для пользователей мобильных устройств - уязвимости Stagefright. Исследователи в один голос говорили о самой серьезной уязвимости Android-устройств из когда-либо обнаруженных. Ровно через год была обнаружена следующая серьезная уязвимость – Metaphor,  и о ней говорят не иначе, как о Домокловом мече, нависшем над миллионами пользователей устройств с ОС Android.

Android-StageFright-Exploit-1.jpg

И на этот раз методам социальной инженерии - популярной среди хакеров техники распространения вредоносного ПО - отведена ключевая роль. Ведь цель все та же: заманить как можно больше доверчивых пользователей на зараженные веб-сайты, после перехода на которые устройство заражается вредоносным ПО, эксплуатирующим новую уязвимость.

Наиболее часто злоумышленники прибегают к использованию всплывающих окон, зараженных ссылок и, не в последнюю очередь, взломанных сайтов с хорошей репутацией, на которых размещается вредоносный код. Кроме того, злоумышленники распространяют вредоносный код при подключении устройства к незащищенным точкам доступа Wi-Fi или при сканировании QR-кода, рекламирующего с виду безобидное приложение или игру.

Работает новая схема следующим образом: внедрив вредоносный код в систему, хакеры получают доступ к любой информации из разделов, связанных с библиотекой libstagefright – именно так, как это было с одноименным эксплойтом год назад. Единственное отличие от предшественника заключается в непосредственной имплементации эксплойта. Чтобы воспользоваться уязвимостью, команда из NorthBit воспользовалась иным методом, чем в случае с Stagefright, а именно посредством эксплуатации уязвимости CVE-2015-3864  в обход механизма т.н. ASLR (рандомизация адресного пространства).

В случае с брешью Metaphor, самым неприятным является тот факт, что данная уязвимость вновь реально угрожает огромному числу устройств с ОС Android. Tолько вдумайтесь: потенциально уязвимы устройства под управлением ОС Android версий 5.0-5.1, совокупная доля которых на сегодняшний день составляеет около 36.1% от всех Android-устройств. Справедливости ради стоит отметить, что данная уязвимость не предусмотрена для универсального использования (именно поэтому «потенциально уязвимы»). Иными словами, эксплуатация каждого устройства сама по себе уникальна, поэтому для взлома какого-то конкретного устройства, необходимо вносить небольшие изменения в код.

Роль парсинга в Metaphor

Парсинг медиа-файлов отлично укладывается в общую картину компрометации. Парсинг – процесс извлечения таких мета-данных, как название, имя исполнителя, субтитры, комментарий и тому подобное. Точно так же, как и в случае с эксплойтом Stagefright, Metaphor нацелен на эксплуатацию ошибок Android-библиотеки Stagefright (libstagefright). Данные ошибки могут быть обнаружены в секции кода, отвечающей за парсинг мета-данных файлов, расположенных в библиотеке libstagefright. Metaphor преимущественно распространяется посредством исполнения JavaScript в веб-браузере. Т.е. жертва должна открыть специальный веб-сайт, чтобы JavaScript мог быть исполнен. Javascript является ключевым звеном в парсинге мета-данных файлов, хранимых на конкретном устройстве, результатом чего становится т.н. атака на формат строки, при которой злоумышленник добавляет в память компьютера адрес, указывающий на другую ссылку, по которой хакеры добавляют свои исполнимые инструкции.

Тогда в чем же основное отличие Мetaphor от предшественника Stagefright? Основным отличием является уже упомянутый нами обход механизма рандомизации адресного пространства (ASLR). Для успешной атаки хакерам будет необходима уникальная информация о конкретном устройстве, чтобы обойти механизм ASLR. На помощь злоумышленникам могут прийти существующие базы данных, содержащие отслеженную информацию о параметрах Android-устройств, в связи с чем количество зараженных устройств может возрасти.

Как не стать жертвой эксплойта Metaphor?

Мутирующее вредоносное ПО для мобильных устройств все чаще становится темой для обсуждения профессионалов и поводом для оправданных опасений пользователей. Чтобы не стать жертвой эксплойта Metaphor (и не только его), рядовым пользователям и предприятиям критически важно соблюдать элементарные правила при работе с мобильными устройствами, имеющими выход в Интернет. В дополнение, не будет лишним принять следующий ряд профилактических мер:

  • Убедитесь, что на вашем устройстве установлены самые свежие обновления, а также подключена функция получения обновлений от производителя устройства по воздуху (OTA)
  • Не переходите по ссылкам из писем, отправители которых вам неизвестны
  • То же самое относится к всплывающим окнам и веб-сайтам

Следите за новостями Avast в сетях Facebook, Twitter, YouTube и Google+ , где вы сможете каждый день узнавать о последних событиях в мире кибербезопасности.