Prije nekoliko dana Oslobođeni istraživači iz sigurnosne kompanije Promon objavljivanjem na vašem blogu ranjivost koja pogađa milione Android telefona. Ovu otkrivenu ranjivost aktivno iskorištava zlonamjerni softver dizajniran za odvod bankovnih računa zaraženih korisnika.
Ova ranjivost dozvoljava zlonamjernim aplikacijama da se pretvaraju da su legitimne aplikacije da su ciljevi već instalirani i imaju povjerenja. Ova ranjivost omogućava zlonamjernoj aplikaciji da zatraži dozvole dok se predstavljao kao legitimna aplikacija. Napadač može zatražiti pristup svim dozvolama, uključujući SMS, fotografije, mikrofon i GPS, što mu omogućava čitanje poruka, pregled fotografija, preslušavanje razgovora i praćenje kretanja žrtve.
Iskorištavanjem ove ranjivosti, zlonamjerna aplikacija instalirana na uređaju može zarobiti korisnika, stoga, kada kliknete na ikonu legitimne aplikacije, to je zapravo zlonamjerna verzija koja se pojavljuje na ekranu.
Kada žrtva unese svoje podatke za prijavu na ovo sučelje, povjerljivi podaci se odmah šalju napadaču, koji se zatim može povezati i kontrolirati aplikacije koje mogu sadržavati osjetljive informacije.
Ranjivost se zvala StrandHogg u vezi sa starim Nordijcem koji je odredio taktiku Vikinga za napad na obalna područja radi pljačke i zadržavanja ljudi radi spašavanja.
„StrandHogg je jedinstven jer dopušta sofisticirane napade bez potrebe za ukorjenjivanjem uređaja, koristi slabost Android multitasking sistema za pokretanje moćnih napada koji dozvoljavaju da se zlonamjerne aplikacije pretvaraju da su bilo koje druge aplikacije na uređaju.
„Promon istražuje zlonamjeran softver iz stvarnog svijeta koji iskorištava ovu ozbiljnu ranjivost i otkrio je da je 500 najpopularnijih aplikacija (rangiranih 42 Subject Barometer) ranjivo, sa svim verzijama Androida.
Sa druge strane, Lookout, dobavljač mobilne zaštite i partner Promona, objavio je da je pronašao 36 aplikacija koje su iskoristile ranjivost. krađa identiteta. Zlonamjerne aplikacije uključivale su inačice bankarskog trojanca BankBot. BankBot aktivan je od 2017. godine, a malware aplikacije su više puta pronađene na Google Play tržištu.
Ranjivost je teža u verzijama 6 do 10, koji prema procjenama čine oko 80% Android telefona u svijetu. Napadi u ovim verzijama omogućavaju zlonamernim aplikacijama da zatraže dozvole dok se predstavljaju kao legitimne aplikacije.
Nema ograničenja dozvola koje ove zlonamjerne aplikacije mogu pretraživati. Pristup tekstualnim porukama, fotografijama, mikrofonu, kameri i GPS-u su neke od mogućih dozvola. Jedina odbrana korisnika je kliknuti "ne" na zahtjeve.
Ranjivost je u funkciji poznatoj kao TaskAffinity, multitasking funkcija koja omogućava aplikacijama da preuzmu identitet drugih aplikacija ili zadataka trčanje u multitasking okruženju.
Zlonamjerne aplikacije mogu iskoristiti ovu značajku definiranje TaskAffinity za jednu ili više vaših aktivnosti kako bi se podudarao s imenom paketa pouzdane nezavisne aplikacije.
Promon je rekao da je Google uklonio aplikacije zlonamjeran iz Play Sotre, ali čini se da do sada ranjivost nije ispravljena na svim verzijama Androida. Predstavnici Googlea nisu odgovorili na pitanja o tome kada će ranjivost biti otklonjena, koliko se aplikacija Google Play koristi ili broj pogođenih krajnjih korisnika.
StrandHogg predstavlja najveću prijetnju za manje iskusne korisniketako oni s kognitivnim ili drugim teškoćama zbog kojih je teško pažljivo pratiti suptilno ponašanje u aplikacijama.
Ipak, postoji nekoliko stvari koje korisnici mogu učiniti za otkrivanje zlonamjernih aplikacija. pokušava iskoristiti ranjivost. Sumnjivi znakovi uključuju:
- Za aplikaciju ili uslugu s kojom ste već povezani morate se prijaviti.
- Skočni prozori za autorizaciju koji ne sadrže ime aplikacije.
- Tražene dozvole aplikacije koja ne bi trebala ili zahtijevati tražene dozvole. Na primjer, aplikacija kalkulatora koja zahtijeva GPS autorizaciju.
- Tipografske pogreške i greške u korisničkom sučelju.
- Gumbi i veze u korisničkom sučelju koji ne rade ništa kad se kliknu.
- Dugme za povratak ne radi kako se očekivalo.
Izvor: https://promon.co