Разработчики компании FireEye, Inc. обнаружили новый класс мобильных угроз, который распространяется через популярную рекламную библиотеку. Угрозе присвоено имя «Vulna», она поражает популярные мобильные приложения, которые в общей сложности были загружены более 200 миллионов раз. Характерная черта «Vulna» – это агрессивный сбор конфиденциальной информации и персональных данных пользователей. Угроза способна выполнять опасные операции, такие как загрузка и выполнение новых компонентов по запросу удаленного сервера, что, прежде всего, несет серьезную угрозу для корпоративных пользователей. Компания FireEye сообщила о данной угрозе компании Google и владельцу зараженной рекламной библиотеки о данном инциденте безопасности. Этот инцидент подтвержден и в настоящее время ведутся активные работы его устранению.
Компания FireEye, Inc. обнаружила новую мобильную угрозу в популярной рекламной библиотеке, о которой еще публично не объявила ни одна компания, производящая антивирусное ПО. Рекламная библиотека представляет собой программное обеспечение сторонних разработчиков для демонстрации рекламы в приложениях. В связи с тем, что функциональность библиотеки и возможности уязвимости позволяют организовать широкомасштабную атаку на миллионы пользователей, название библиотеки не оглашается публично, а используется кодовое имя «Vulna».
Аналитиками FireEye был проведен анализ всех Android приложений на Google Play, которые были загружены пользователями более миллиона раз, в ходе которого выяснилось, что 1.8% этих приложений используют скомпрометированную библиотеку «Vulna». Суммарное количество загрузок уязвимых приложений насчитывает более 200 миллионов раз.
Широко известно, что рекламные библиотеки представляют достаточно серьезную угрозу для персональных данных, т.к. они осуществляют сбор идентификаторов устройств (IMEI, IMSI и т.п.), а так же данных локализации. «Vulna», к уже имеющимся рискам, добавляет еще ряд угроз безопасности. Во-первых, «Vulna» агрессивна, она может быть настроена сервером на сбор таких данных, как текстовые сообщения, список вызовов и контактов. Она так же позволяет выполнение динамически загружаемого кода. Во вторых, «Vulna» содержит множество различных уязвимостей. Эти уязвимости могут причинить колоссальный ущерб владельцу мобильного устройства, т.к. дают возможность хакерам обрести контроль над его камерой, похитить токены двухфакторной аутентификации, отправляемые по SMS, а также включить устройство в ботнет сеть.
Вот перечень агрессивного поведения и уязвимостей, которое удалось обнаружить в «Vulna»:
• Агрессивное поведение
o Сбор адресов электронной почты и списка установленных приложений владельца устройства. Помимо этого, «Vulna» способна читать текстовые сообщения, историю телефонных звонков и список контактов, а так же публиковать эти данные через веб-службы, запущенные на устройстве.
o «Vulna» загружает произвольный код и выполняет его после команды с удаленного сервера.
• Уязвимости
o «Vulna» передает частную информацию владельца мобильного устройства через HTTP как обычный текст, что делает его уязвимым для перехвата.
o «Vulna» использует не защищенный HTTP протокол для получения команд и динамически загружаемого кода от ее контрольного сервера, что может быть использовано хакерами для включения устройства в ботнет сеть.
o «Vulna» использует Android WebView со связкой JavaScript-¬to-¬Java в не защищенном виде. Атакующие могут использовать эту уязвимость для выполнения вредоносного JavaScript кода, которая может нарушить работу устройства.
Агрессивное поведение «Vulna» представляет серьёзную опасность, прежде всего для корпоративных пользователей.
Учитывая данные уязвимости, хакер может выполнить произвольный код в любом приложении, которое использует рекламную библиотеку «Vulna». Проведенный анализ показал, что большинство таких приложений располагают максимальными правами доступа к персональным данным владельца, хранящимся на его мобильном устройстве, а именно: чтение и/или написание SMS сообщений, история телефонных звонков, контакты, история браузера и закладки, а так же контроль камеры и создание ярлыков на рабочем столе. Получив доступ к таким приложениям, атакующий может:
• Похитить токкен двухфакторной аутентификации, присылаемый по SMS;
• Просматривать фотографии и другие файлы, хранящиеся на SD накопителе;
• Инсталлировать ярлыки на рабочем столе для осуществления фишинговых атак;
• По запросу удалять и повреждать данные;
• Выдавать себя за владельца и отправлять сообщения персонам из списка контактов;
• Удалять входящие текстовые сообщения;
• Осуществлять телефонные звонки.
Описанная выше уязвимость была обнаружена командой разработчиков FireEye с помощью уникального подхода и технологий FireEye Mobile Threat Prevention. Полученные данные уязвимости в зараженных приложениях были отправлены компании Google, а также вендору «Vulna». Данный инцидент подтвержден и ведутся активные работы по устранению уязвимости.