Иконки Android могут быть использованы хакерами для перенаправления пользователя на фишинговый сайт при нажатии – FireEye

FireEye сообщила, что недавно обнаружила вредоносное Android-приложение, которое могло изменять иконки других приложений на смартфоне или планшете Android пользователя. Как только они изменяли иконки, если и когда на них нажимал пользователь смартфона, он перенаправлялся на фишинговый сайт.

В блоге FireEye, написанном исследователями безопасности Хуи Сюэ, Юлуном Чжаном и Тао Вэем, говорится, что вредоносное приложение злоупотребляло набором разрешений для изменения настроек конфигурации стандартного лаунчера Android и иконок.

Вредоносное ПО злоупотребляет набором разрешений, известных как “com.android.launcher.permission.READ_SETTINGS” и “com.android.launcher.permission.WRITE_SETTINGS.”

• Согласно исследователям FireEye, вышеуказанные два разрешения долгое время классифицировались как “нормальные”, что является обозначением для разрешений приложений, которые, как считается, не имеют злонамеренных возможностей. Поэтому эти разрешения не включены в стандартный набор разрешений, которые пользователь Android должен «принять», когда он или она устанавливает новое приложение.

• Это обозначение “нормальное”, данное операционной системой Android, является лазейкой, которую авторы вредоносного ПО использовали для написания этого конкретного вредоносного приложения. Таким образом, вредоносное приложение “использовало эти нормальные разрешения” и заменило легитимные иконки домашнего экрана Android на поддельные, которые указывают на фишинговые приложения или сайты”, написали они.

• Авторы также заявили, что FireEye разработала доказательство концепции атаки, используя планшет Nexus 7 от Google с установленной версией Android 4.2.2, чтобы показать, что иконки могут быть изменены для перенаправления людей на другой сайт. FireEye смогла обойти проверки безопасности Google и загрузить приложение, которое она назвала ‘ThisIsATestApp’, в магазин Google Play, которое было удалено после подтверждения их доказательства концепции.

Магазин Google Play, который проверяет приложения на наличие проблем с безопасностью, особенно после появления поддельных приложений в Google Play, считал это приложение легитимным и разместил его в Google Play. FireEye добавила, что никто не скачал приложение PoC за тот короткий момент, когда оно было размещено в магазине Google Play.

• FireEye предоставила Google доказательство концепции относительно этого недостатка в октябре 2013 года, и Google выпустила патч в феврале 2014 года, чтобы устранить этот недостаток, сообщает FireEye. Google выпустила патч всем своим партнерам OEM, так как это должно быть включено в само обновление, но FireEye утверждает, что не все OEM достаточно быстро обновляют и обновляют патчи безопасности. Это означает, что несколько смартфонов Android, работающих на стандартной прошивке, все еще уязвимы для этого вредоносного приложения.

• FireEye утверждает, что даже пользовательские прошивки, доступные по всему миру, рассматривают вышеуказанные разрешения как легитимные, тем самым делая даже смартфоны на базе CyanogenMod уязвимыми для этой атаки. FireEye протестировала Nexus 7, работающий на пользовательской прошивке CyanogenMod, а также Samsung Galaxy S4, работающий на Android 4.3, и HTC One, работающий на 4.4.2. Все они классифицируют разрешения “read_settings” и “write_settings” как нормальные.

• FireEye призвала каждого производителя Android обновить версию OEM Android с патчем безопасности. Реальная опасность заключается в том, что злоумышленники могут изменить иконку банковского приложения и обмануть пользователей, заставив их раскрыть конфиденциальную информацию, такую как учетные данные банковского счета, на поддельном сайте, который они создали.

Ресурс: Блог FireEye