Kaspersky descobre script malicioso que infecta versões antigas do Android

Por Redação | 11.05.2016 às 14:35

Especialistas da Kaspersky Lab encontraram atividades incomuns de um script malicioso em um site infectado. Desde 2011, cibercriminosos brasileiros exploram vulnerabilidades no Windows e em diversos aplicativos da plataforma para executar códigos maliciosos sem qualquer interação com o usuário. Agora, a mesma artimanha está sendo utilizada para infectar automaticamente dispositivos móveis equipados com versões mais antigas do Android.

Normalmente, estes ataques, conhecidos como "drive-by-download", tentam ativar o download de exploits do Flash para infectar usuários de Windows. No entanto, em algum momento, o golpe foi alterado para verificar o tipo de dispositivo que a vítima está usando, procurando especificamente por equipamentos com a versão 4.1 ou mais antigas do Android. O alcance da infecção pode ser grande, tendo em vista que para comprometer o dispositivo basta apenas acessar ocasionalmente um site comprometido.

O primeiro scritpt foi descoberto quando pesquisadores da Kaspersky Lab procuravam dispositivos que operam com versões antigas do sistema operacional móvel do Google. Outros dois scripts também foram detectados. Um deles era capaz de enviar SMS para qualquer número de celular, enquanto o outro realizava o download de um trojan no cartão microSD do dispositivo para interceptar e enviar mensagens SMS. Os dois scripts maliciosos conseguem executar suas ações sem que o usuário realize qualquer interação.

Os cibercriminosos estão explorando as vulnerabilidades CVE-2012-6636, CVE-2013-4710 e CVE-2014-1939, que estão presentes nas versões 4.1.x e anteriores do Android. Elas já foram corrigidas pelo Google entre 2012 e 2014, mas algumas fabricantes podem não ter disponibilizado a atualização de segurança para os usuários. Segundo Fabio Assolini, especialista de segurança da Kaspersky Lab no Brasil, as técnicas de exploração que foram descobertas não são novas, "mas reutilizam provas de conceito (PoC) feitas por pesquisadores 'white hat'".

"Nossa pesquisa demonstra que os fornecedores de dispositivos Android devem entender que, após a publicação de um PoC, inevitavelmente irão aparecer exploits utilizando as novas técnicas. Os usuários desses dispositivos devem ser protegidos com as atualizações de segurança adequadas, mesmo que eles não sejam mais comercializados na época”, completa Assolini. Para se proteger, é indicado que os usuários mantenham atualizada a versão do Android em seu dispositivo e restrinja qualquer tipo de instalação que não seja oriunda da Google Play. Aplicativos de segurança também são recomendados para detectar possíveis infecções.