Fa pocs dies investigadors de la companyia de seguretat Promon van donar a conèixer mitjançant una publicació al seu bloc una vulnerabilitat que afecta milions de telèfons Android. Aquesta vulnerabilitat trobada és explotada activament per programari maliciós dissenyat per drenar els comptes bancaris dels usuaris infectats.
aquesta vulnerabilitat permet que les aplicacions malicioses pretenguin ser aplicacions legítimes que els objectius ja s'han instal·lat i confien. aquesta vulnerabilitat permet que una aplicació maliciosa sol·liciti permisos mentre es fa passar per una aplicació legítima. Un atacant pot sol·licitar accés a tots els permisos, inclosos SMS, fotos, micròfon i GPS, el que li permet llegir missatges, veure fotos, escoltar converses i rastrejar moviments de la víctima.
A l'explotar aquesta vulnerabilitat, una aplicació maliciosa instal·lada al dispositiu pot atrapar l'usuari, per tant, quan fa clic a la icona d'una aplicació legítima, en realitat és una versió maliciosa que apareix a la pantalla.
Quan la víctima ingressa la seva informació d'inici de sessió en aquesta interfície, la informació confidencial s'envia immediatament a l'atacant, qui després pot connectar-se i controlar aplicacions que poden contenir informació confidencial.
La vulnerabilitat es deia StrandHogg en refencia a un antic nòrdic que designava tàctiques víkings per atacar àrees costaneres per saquejar i detenir les persones a la recerca de rescat.
«StrandHogg, és únic perquè permet atacs sofisticats sense haver de rootear un dispositiu, utilitza una debilitat de sistema multitasca d'Android per llançar atacs poderosos que permeten que aplicacions malicioses pretenguin ser qualsevol altra aplicació en el dispositiu.
«Promon ha estat investigant malware de l'món real que explota aquesta greu vulnerabilitat i ha descobert que les 500 aplicacions més populars (classificades segons el Baròmetre de 42 Matèries) són vulnerables, amb totes les versions d'Android afectades.
Per la seva banda, Lookout, un proveïdor de seguretat mòbil i soci de Promon, va anunciar que va trobar 36 aplicacions que explotaven la vulnerabilitat de robatori d'identitat. Les aplicacions malicioses incloïen variants de l'troià bancari BankBot. BankBot ha estat actiu des 2017, i les aplicacions de malware s'han trobat diverses vegades en el mercat de Google Play.
La vulnerabilitat és més greu en les versions 6 a 10, Que segons representen aproximadament el 80% dels telèfons Android al món. Els atacs en aquestes versions permeten que les aplicacions malicioses sol·licitin permisos mentre es presenten com a aplicacions legítimes.
No hi ha límit per als permisos que aquestes aplicacions malicioses poden buscar. L'accés a missatges de text, fotos, micròfon, càmera i GPS són uns dels permisos possibles. L'única defensa d'un usuari és fer clic a «no» a les sol·licituds.
La vulnerabilitat es troba en una funció coneguda com TaskAffinity, Una funció multitasca que permet a les aplicacions assumir la identitat d'altres aplicacions o tasques que s'executen en l'entorn multitasca.
Les aplicacions malicioses poden explotar aquesta característica definint TaskAffinity per a una o més de les seves activitats per a que coincideixi amb el nom de el paquet d'una aplicació de tercers de confiança.
Promon dir que Google ha eliminat aplicacions malicioses de la Play Sotre, però fins ara la vulnerabilitat sembla no haver estat reparada en totes les versions d'Android. Els representants de Google no van respondre preguntes sobre quan es corregirà la vulnerabilitat, la quantitat d'aplicacions de Google Play que estan sent explotades o la quantitat d'usuaris finals afectats.
StrandHogg representa la major amenaça per als usuaris menys experimentatso aquells amb discapacitats cognitives o altres que fan que sigui difícil prestar molta atenció als comportaments subtils de les aplicacions.
Tot i així, hi ha diverses coses que els usuaris poden fer per detectar aplicacions malicioses que intenten aprofitar la vulnerabilitat. Els signes sospitosos inclouen:
- Una aplicació o servei a què ja està connectat requereix que entreu.
- Finestres emergents d'autorització que no contenen el nom d'una aplicació.
- Els permisos sol·licitats d'una aplicació que no hauria de requerir o requerir els permisos sol·licitats. Per exemple, una aplicació de calculadora que sol·licita autorització de GPS.
- Errors tipogràfics i errors en la interfície d'usuari.
- Botons i enllaços a la interfície d'usuari que no fan res a l'fer clic.
- El botó Enrere que no funciona com s'esperava.
font: https://promon.co