В начале нынешнего года специалисты компании Symantec обнаружили новый вид вымогательского ПО для Android, использующий для получения прав администратора технику кликджекинга.
С выпуском версии Android 5.0 компания Google устранила подобную возможность эксплуатации ПО, однако исследователи Skycure уверены, что атаки с использованием техники кликджекинг (accessibility clickjacking) в скором времени станут довольно распространенными.
В марте этого года эксперты продемонстрировали, как функция Android Accessibility Service может эксплуатироваться для получения контроля над устройством. Они разработали PoC-эксплоит в виде игры, играя в которую пользователь непреднамеренно активирует Accessibility Service на устройстве.
После того, как функция будет включена на устройстве, злоумышленник может отслеживать всю активность пользователя, просматривать и компрометировать корпоративную почту и документы, а также менять права администратора или создать нового администратора. Это позволит преступнику зашифровать или удалить все данные на мобильном устройстве.
На тот момент исследователи полагали, что метод работает только на устройствах под управлением Android 4.4 (KitKat) и ниже, однако, как выяснилось, уязвимости подвержены и более новые версии ОС (Android 5.0 и выше), несмотря на дополнительную защиту, реализованную Google. По словам экспертов, 95,4% Android-устройств уязвимы к атакам с использованием техники accessibility clickjacking.
Специалисты Skycure проинформировали о проблеме разработчиков Google, однако в компании отказались исправлять уязвимость, расценив ее как приемлемый риск.
