Biuletyn Threat Intelligence Nr 9: Zagrożenia dla Android i systemów mobilnych

Podsumowanie

We wrześniu 2025 Google opublikowało aktualizację zabezpieczeń systemu Android, która łata 120 luk, w tym dwie typu zero-day, aktywnie wykorzystywane w atakach. Poprawki zostały wydane w kontekście wzrostu aktywności złośliwego oprogramowania na Androida. Droppery, dotychczas wykorzystywanych głównie w wąskim zakresie do ataków na bankowość mobilną, zostały użyte w szerszych kampaniach wykradających dane. Zbiegło się to w czasie z atakami wykorzystującymi podatność w WhatsApp oraz iOS, skierowanymi przeciwko dziennikarzom i działaczom społecznym. Zasadniczy problem jest szerszy i nie dotyczy jednej platformy. Choć systemy mobilne często przetwarzają nasze najwrażliwsze dane, świadomość specyfiki ich zabezpieczeń często pozostaje niska [1].

Google łata 120 podatności w Android

Google opublikowało wrześniowy biuletyn bezpieczeństwa Androida, który zawiera poprawki dla 120 podatności, z czego najpoważniejsze dotyczą komponentów Android Runtime i jądra Linux. Aktualizację podzielono tym razem na dwa poziomy poprawek: 2025-09-01 i 2025-09-05, co umożliwia producentom urządzeń szybsze wdrażanie części z nich.

Najpoważniejsze podatności — aktywnie wykorzystywane w atakach

CVE-2025-48543 (8.8 CVSS) — Android Runtime — podatność typu use after free w system_server system Android. W wielu lokalizacjach istnieje możliwość wydostania się poza sandbox Chrome, co może zostać wykorzystane do eskalacji uprawnień. Wykorzystanie tej podatności nie wymaga interakcji ze strony użytkownika. Google potwierdziło, że jest aktywnie wykorzystywana w atakach ukierunkowanych [2]. Występuje w wersjach Androida 13–16.

CVE-2025-38352 (7.4 CVSS) — Linux Kernel — podatność typu race condtition w komponencie jądra systemów Linux. Dotyczy funkcji handle_posix_cpu_timers() oraz posix_cpu_timer_del(). W sytuacji, gdy proces kończy działanie i wywołuje obsługę timerów, może zostać natychmiast usunięty przez rodzica lub debugger, co uniemożliwia poprawne wykrycie aktywnego timera przez równolegle działającą funkcję usuwającą timer. Prowadzi to do błędów synchronizacji i w efekcie umożliwia eskalację uprawnień [3].

Zalecane działania

W przypadku użytkowników indywidualnych, zaleca się niezwłoczną aktualizację systemu Android do najnowszej wersji z poprawką bezpieczeństwa z 1 lub 5 września 2025, albo nowszą. Co więcej, zaleca się zweryfikować, czy Google Play Protect jest aktywne i nie ignorować jego komunikatów. Aby to zrobić, należy wejść w aplikację Sklep Google Play, wybrać awatar użytkownika w prawym, górnym rogu i w otwartym menu wybrać Play Protect. Co więcej, przestrzegamy przed instalacją oprogramowania spoza oficjalnego sklepu Play.

Administratorom IT zaleca się wymuszenie aktualizacji na zarządzanych urządzeniach. Ponadto warto monitorować logi systemowe pod kątem nietypowych uprawnień i aktywności. W przypadku wykorzystania narzędzi MDM, należy blokować instalację aplikacji z nieznanych źródeł. W razie braku scentralizowanego rozwiązania, zaleca się okresowe szkolenie użytkowników z zagrożeń dla urządzeń mobilnych.

Rosnące zagrożenia dla systemu Android

Jednym z cyklicznie powracających rodzajów kampanii przeciwko użytkownikom Andrida są ataki z użyciem dropperów. To rodzaj złośliwego oprogramowania, którego głównym celem nie jest bezpośrednie wyrządzenie szkody, lecz dostarczenie właściwego malware na urządzenie ofiary. Działają jako swoisty „kurier” — po zainstalowaniu na urządzeniu, często pod pozorem legalnej aplikacji, pobierają i uruchamiają dodatkowe komponenty, takie jak trojany bankowe, czy narzędzia do kradzieży danych. Dzięki temu cyberprzestępcy mogą przez pewien czas ominąć zabezpieczenia sklepu Google Play i systemu Android, a użytkownik często nie zdaje sobie sprawy z zagrożenia, dopóki nie jest już za późno.

Raport Threat Fabric wskazuje w tym zakresie na pewną zmianę. Droppery, wcześniej wykorzystywane głównie do dostarczania trojanów bankowych, obecnie coraz częściej służą do instalowania spyware i narzędzi kradnących SMS-y. Kampanie te są szczególnie aktywne w Azji, ale techniki mogą być łatwo przeniesione na inne rynki [4].

Nowe droppery, takie jak RewardDropMiner, SecuriDropper czy Zombinder, potrafią omijać zabezpieczenia Google Play Protect, pozorując nieszkodliwe aplikacje. Dopiero po kliknięciu przez użytkownika przycisku „update” pobierają złośliwe ładunki z zewnętrznych serwerów. Po ich zainstalowaniu, zaczynają wykradać dane użytkowników. Takie podejście zapewnia też niewykrywalność przez Google’s Pilot Program. Jest to rozszerzenie Play Protect, zaprojektowane z myślą o zwiększeniu bezpieczeństwa użytkowników Androida w regionach wysokiego ryzyka, takich jak Indie czy Brazylia. Program skanuje aplikacje tuż przed instalacją, szczególnie te pochodzące z zewnętrznych źródeł (sideloading). Następnie blokuje te, które żądają niebezpiecznych uprawnień (np. dostęp do SMS-ów, powiadomień, usług dostępności) lub używają podejrzanych API.

WhatsApp i zagrożenia dla prywatności

Informacja o nowych kampaniach dropperów zbiegła się w czasie z podatnością CVE-2025-55177 (8.0 CVSS) w komunikatorze WhatsApp. Luka ta była wykorzystywana w rzeczywistych atakach typu zero-click jako część zaawansowanej kampanii szpiegowskiej [5]. Wykorzystano w niej także podatności w produktach Apple (CVE-2025-43300) [6]. Ataki były wysoce ukierunkowane i dotyczyły mniej niż 200 użytkowników, głównie osób o wysokim profilu ryzyka, takich jak dziennikarze i działacze społeczni.

Wpisują się to w szerszy trend intensyfikacji działań ukierunkowanych na kradzież danych. Tzw. infostealery stają się coraz bardziej powszechne i wyrafinowane. Ważnym jest aby zrozumieć, że nie ma systemu operacyjnego, który byłby domyślnie bezpieczny. Z problemem tym mierzą się zarówno Android, jak również iOS, Windows, macOS i Linux. Brak zdania sobie z tego sprawy może narażać użytkowników na poważne konsekwencje. Dlatego kluczowe jest utrzymywanie cyberhigieny niezależnie od używanego systemu.

Wnioski

Zagrożenia mobilne ewoluują szybciej niż świadomość użytkowników. Choć Google oraz inni producenci stale rozwijają mechanizmy ochronne, to, cyberprzestępcy adaptują się równie szybko. Dlatego kluczowa staje się postawa samych użytkowników: świadomość zagrożeń z zewnątrz, złych nawyków i sposób przeciwdziałania im, czy równe traktowanie bezpieczeństwa. W powszechnej świadomości wciąż utrzymuje się, że to komputery wymagają antywirusów i wysiłku w zachowaniu bezpieczeństwa. I choć rzeczywiście, architektura systemów mobilnych ogranicza ryzyka ze strony podatności technicznych, to sprzyja stosowaniu socjotechnik. Jest to szczególnym problemem dla firm i instytucji, gdzie bagatelizowanie problemów urządzeń mobilnych naraża informacje na wyciek. Wskazać tu należy przede wszystkim korzystanie z niezatwierdzonych aplikacji, zwłaszcza komunikatorów. Dlatego zaleca się podejście łączące działania systemowe (wdrażanie MDM) ze szkoleniami pracowników, tak aby zabezpieczyć oba główne wektory ataków.

Opracowanie: Mateusz Rakowski