Новая уязвимость ‘Fakedebuggerd’ в ОС Android 4.x позволяет хакерам получить доступ к root

Table Of Contents

• Новая уязвимость ‘Fakedebuggerd’ во всех версиях ОС Android до Lollipop позволяет хакерам получить доступ к root
• Fakedebuggerd нацеливается на устройства Android 4.x
• Механизм действия

Новая уязвимость ‘Fakedebuggerd’ во всех версиях ОС Android до Lollipop позволяет хакерам получить доступ к root

Исследователи безопасности из китайской антивирусной компании 360 обнаружили новую уязвимость в операционной системе Android от Google, названную ‘Fakedebuggerd’. Эта новая уязвимость позволяет потенциальным хакерам получить доступ к root для установки файлов и повышения привилегий на смартфонах и планшетах, работающих на ОС Android, и запускать вредоносные коды по своему усмотрению.

По словам исследователей из 360, уязвимость Fakedebuggerd позволяет потенциальному злоумышленнику получить доступ к области, которая может быть доступна только с системными или root-привилегиями. Уязвимость использует два известных эксплойта повышения привилегий (PE) для Android 4.x, ‘FramaRoot’ и ‘TowelRoot’, чтобы запускать код с правами root и устанавливать инструменты root на устройство. Это позволяет потенциальному хакеру скрыть код как от пользователя Android, так и от решений безопасности, работающих на устройствах. Таким образом, хакер может внедрить любое вредоносное приложение без ведома пользователей.

Fakedebuggerd нацеливается на устройства Android 4.x

Уязвимость представляет собой высокий риск, так как она предоставляет серьезное повышение привилегий для обработчиков вредоносного ПО, и это первый случай, когда исследователи обнаружили какие-либо уязвимости повышения привилегий в Android 4.x.

Как уже упоминалось, используются два эксплойта, ‘TowelRoot’ и ‘FramaRoot’, что означает, что уязвимость имеет более высокий уровень заражения, а также более высокие шансы скрыть себя от антивирусных движков на устройстве пользователя. Эксплойт Towelroot основан на уязвимости системного вызова futex() (CVE-2014-3153). Эта уязвимость Linux была обнаружена пять месяцев назад Комексом и затрагивает почти все устройства Android до Android 5.0 Lollipop.

Другой эксплойт, Framaroot, по сути, является инструментом для получения root-доступа и основан на нескольких эксплойтах для большинства устройств Samsung, LG, Huawei, Asus и ZTE и других. Эксплойты, которые формируют Framaroot, названы в честь героев популярной трилогии Дж. Р. Р. Толкина “Властелин колец”, таких как Гэндальф, Боромир, Пиппин, Леголас, Сэм, Фродо, Арагорн и Гимли. Почти все смартфоны Android, произведенные вышеупомянутыми компаниями, могут легко выполнять Framaroot, что делает Fakedebuggerd очень мощным вектором.

Механизм действия

Как только уязвимость Fakedebuggerd эксплуатируется и инструмент root развернут на зараженном устройстве, вредоносный код собирает конфиденциальные данные, такие как уникальные идентификаторы, версии устройств и данные о сетевом подключении. Кроме того, он установит ненужные приложения, такие как Фонарик и Календарь, без разрешения пользователей. Fakedbuggerd довольно агрессивен в своих намерениях и использует крайние меры, чтобы сохранить их установку. Даже если эти приложения удаляются пользователем с использованием прав root, Fakedbuggerd автоматически переустанавливает их, используя эксплойт PE.

И, как уже упоминалось, из-за идеальной техники скрытия вредоносного ПО простое удаление подозрительных приложений не сработает в этом случае.

Вредоносное ПО Fakedbuggerd представляет собой серьезную угрозу из-за своей способности получать права root и запускать коды, насыщенные вредоносным ПО, на зараженных устройствах. В современном мире конвергенции, когда критические и конфиденциальные данные предприятий и мобильные телефоны взаимосвязаны, Fakedbuggerd может вызвать невидимый ранее хаос.

На данный момент ни одно решение безопасности или антивирус не может обнаружить это вредоносное ПО, поэтому профилактика является лучшим средством против заражения через эту уязвимость.

• Избегайте сторонних и непроверенных APK и используйте официальные приложения Google Play для загрузки.

• Даже если вам нужно загрузить APK, придерживайтесь доверенных и хорошо оцененных разработчиков приложений.

• Будьте осторожны с поддельной рекламой (malvertisements) и фишинговыми ссылками во всех формах коммуникации – SMS, электронной почте и социальных сетях.

Источник: 360 Blog.