Újabb invázió indult az Android ellen

Az Android alapú készülékeket egy újabb támadáshullám érte el. Védekezni nem túl nehéz ellene, de némi odafigyelésre szükség van.
 

A Biztonságportálon korábban már többször beszámoltunk arról, hogy az Android esetében idén a kiberbűnözők igencsak kipécézték maguknak az ADB (Android Debug Bridge) funkciót. Ezt leginkább fejlesztők használják az alkalmazásaik fejlesztése során, de egyéb más eseteben is hasznos szolgálatot tehet. Az ADB jó esetben gyárilag nem engedélyezett a készülékeken, mivel a gyártók tudják, hogy nemkívánatos célokra is felhasználhatóvá válhat.
 
Csakhogy néhány hónappal ezelőtt beigazolódott, hogy egyes gyártók mégsem voltak ennyire elővigyázatosak, és szép számban kerültek piacra engedélyezett ADB-vel különféle eszközök, köztük okostelefonok is. Erre pedig rögtön ráugrottak a kiberbűnözők.
 
A Trend Micro legfrissebb beszámolója szerint az ADB őrület korántsem csengett le az elmúlt hónapokban. Ezt bizonyítja az is, hogy egy új exploit jelent meg, amely már globális szinten terjed. Először július 9-10 lehetett nagyobb mennyiségben kimutatni a jelenlétét elsősorban kínai és amerikai forrásokból. Aztán július 15-én egy nagyobb invázió indult el a koreai térségből.
 
Az eddigi vizsgálatok arra derítettek fény, hogy az új kártékony kód is az 5555-ös (ADB-által használt) porton keresztül képes végrehajtani a feladatát, ami több lépésben valósul meg. Alapvetően háromlépcsős támadásokról beszélünk. Először egy nyitott ADB-porton keresztül egy shell script kerül fel a kiszemelt készülékre. Ez a script egy újabb scriptet tölt le, ami felelős a harmadik ütemben bekövetkező tényleges károkozások indításáért.
 
Az új szerzemény a júliusi támadások során olyan kódokat juttatott fel a mobil eszközökre, amelyek elosztott szolgáltatásmegtagadási támadásokba tudták bevonni a fertőzött készülékeket. A károkozó egy vezérlőszerverről kapta a szükséges kódokat és utasításokat. Ezek között szerepelt egyebek mellett UDP, GRE, TCP SYN, TCP ACK csomagok nagymennyiségű küldözgetése is előre meghatározott célpontok felé.
 
A vezérlőszerver kapcsán a biztonsági kutatók kiderítették, hogy az nem kizárólag az új exploithoz kötődik, hanem a korábbról ismert Satori féreghez is. (A Satori a hírhedt Mirai egy leszármazottja.) Így alapos a gyanú, hogy a Satori és az új exploit terjesztői egy csoporthoz tartoznak.
 
Védekezési tanácsok
 
Azt jelenleg nehéz megmondani, hogy hány készülék (okostelefon, okostévé, egyéb okoseszköz) lehet kiszolgáltatott az ADB-s támadásoknak. Egy vizsgálat (netes keresés) során 48 ezer ilyen eszközre akadtak a kutatók, de ez biztosan nem a teljes támadási felületet fedi le. Ezért a szakemberek azt javasolják, hogy az Android (fejlesztői) beállításai között mindenki ellenőrizze az ADB állapotát, és lehetőségek (és szükség) szerint tiltsa le az USB-hibakeresés, valamint az ADB over WiFi funkciót.