Компания Blue Coat Systems обнаружила длящуюся не менее 60 дней атаку типа drive-by, которая позволяет устанавливать на Android-устройства приложения-вымогатели за счёт использования критической уязвимости в старых версиях операционной системы, установленной на сотнях миллионов устройств. Используется минимум две уязвимости версий между Android 4.0 и 4.3, в том числе эксплоит под названием Towelroot, дающий атакующим рут-права на смартфоне пользователя. Используемый здесь код мог стать доступным в результате утечки данных итальянской Hacking Team в прошлом июле. Могут быть затронуты и устройства на Android 4.4.
Это редкий случай, когда уязвимости Android используются в реальных атаках drive-by. Обычно применяются методы социальной инженерии, убеждающие пользователей установить вредоносное ПО под видом полезных приложений. В данном же случае взаимодействие с пользователем не нужно.
Открытие было сделано при анализе планшета от Samsung на Android 4.2.2, а инфицирование могло произойти при просмотре вредоносной рекламы. Blue Coat считает, что пострадать могли минимум 224 устройства на Android 4.x, в том числе на версии 4.4. Устройства были подключены к 77 защищаемым Blue Coat корпоративным сетям, так что речь идёт только о небольшой части выявленных случаев.
Когда уязвимое устройство посещает веб-страницу с вредоносным кодом, устанавливается программа-вымогатель Cyber.Police. Она грозит ответственностью за посещение порносайтов и требует «штраф» в виде подарочных карт Apple iTunes на сумму $100. Заблокированное устройство не может совершать звонки и выполнять другие задачи. Можно выполнить сброс настроек устройства до заводских, но есть вариант с безопасной загрузкой для избавления от вредоносной программы. Если версия 4.4 также затронута, то перед данной атакой уязвимы 57% Android-устройств.