O nou descoperită vulnerabilitate denumită StrandHogg, ar putea permite hackerilor accesul la date private în cazul aproape oricărui telefon cu sistem de operare Android și a fost deja folosită pentru accesarea de informații bancare. Documentată de către compania de securitate, Promon, vulnerabilitatea afectează toate versiunile de Android.

StrandHogg nu este chiar ceva nou – cercetătorii din domeniul securității cunosc o versiune concept încă din 2015. O versiune funcțională, potențial periculoasă, a acestei vulnerabilități a apărut relativ recent ascunsă în cadrul unor aplicații de tip malware și s-a propagat pe Internet pe tot parcursul anului trecut. Promon a creat o pagină de informare dedicată vulnerabilității după ce a descoperit cât de răspândită și periculoasă aceasta poate fi.

Vulnerabilitatea întrerupe fluxul de lucru al aplicației din momentul pornirii și până la afișarea ecranului de start forțând utilizatorul să acorde permisiuni malițioase înainte de a lăsa aplicația legitimă să ruleze.

Cercetătorii noștri s-au concentrat pe descrierea vulnerabilității, dar am colaborat de asemenea și cu Lookout Security ce au contribuit în parte prin scanarea seturilor de date pentru malware. Au găsit 36 de aplicații malițioase care exploatează defectul” a afirmat Lars Lunde Birkeland, director în cadrul departamentului de Marketing și Comunicare al Promon.

„Am testat 500 de aplicații din topul celor mai populare, toate fiind vulnerabile” a adăugat Birkeland.

Toate versiunile de Android, incluzând Android 10, considerate a fi afectate au primit patch-uri de securitate, însă telefoanele aparent sigure rămân a fi considerate în continuare vulnerabile conform părerii celor de la Promon.  

Ascunse la vedere

Vulnerabilitatea constă în deturnarea fluxului unei aplicații legitime din momentul lansării acesteia pe aproape orice telefon cu sistem Android. În loc ca aplicația să deschidă ecranul de pornire sau pagina de autentificare, vulnerabilitatea permite unei bucăți de cod malițios să afișeze așa numitele solicitări de permisie, de genul celor care solicită acordul de a accesa agenda, locația și sistemul de fișiere. Când se furnizează acordul de acces, malware-ul primește toate acordurile în locul aplicației legitime, ce continuă să funcționeze ca și cum nimic nu s-ar fi întâmplat.

Victima deschide aplicația legitimă dar în schimbul accesării acesteia, malware-ul păcălește dispozitivul să afișeze cereri de permisiuni. Victima oferă malware-ului și hackerului permisiunile, iar apoi se realizează redirectarea către aplicația legitimă” a menționat Birkeland.

Cercetătorii au constatat că un program de tip Trojan denumit BankBot s-a folosit de această vulnerabilitate pentru a-și acorda permisiuni importante în vederea interceptării de mesaje text, creării de log-uri cu tastele apăsate de către utilizator, redirecționării de apeluri telefonice și chiar blocării telefonului până la plata unei răscumpărări, o îngrijorare majoră pentru oricine rulează aplicații bancare, financiare sau de portofel electronic în cadrul telefonului său.

„Este un bine-cunoscut virus Trojan întâlnit în toate țările lumii” a adăugat Birkeland.

Vulnerabilitatea poate conduce și la afișarea unei pagini false de autentificare în cazul anumitor aplicații rulate pe telefoane cu sistem Android dar vulnerabilitatea ce implică solicitarea de permisiuni este mult mai comună.

Lucruri serioase

„Subiectul acestei vulnerabilități este unul serios. Un atacator poate lansa atacuri foarte puternice” a afirmat Birkeland în continuare.

Promon a descoperit acest tip de malware în momentul în care „câteva bănci din republica Cehă au raportat dispariția de fonduri din conturile clienților,” au scris cercetătorii din cadrul companiei.

„De aici, prin intermediul cercetării realizate, Promon a putut identifica malware-ul ce a fost folosit în exploatarea vulnerabilității sistemului Android. Lookout, unul dintre partenerii Promon, a confirmat de asemenea faptul că au fost descoperite 36 de aplicații malițioase ce exploatau vulnerabilitatea. Printre acestea se aflau versiuni ale virusului Troian BankBot observat cel mai devreme la începutul anului 2017” au scris aceștia.

„În vreme ce Google a eliminat aplicațiile afectate, din câte cunoaștem, vulnerabilitatea nu a fost încă remediată pentru niciuna dintre versiunile de Android (incluzând Android 10)” au mai scris cercetătorii.