Une vulnérabilité a été découverte dans Android qui donne l'impression que les applications malveillantes semblent légitimes

Darkcrizt

Minutes 4

Android

Il ya quelques jours Des chercheurs de la société de sécurité Promon libérés en publiant sur votre blog une vulnérabilité affectant des millions de téléphones Android. Cette vulnérabilité découverte est activement exploitée par des logiciels malveillants conçus pour vider les comptes bancaires des utilisateurs infectés.

Cette vulnérabilité permet aux applications malveillantes de se faire passer pour des applications légitimes que les cibles ont déjà installés et font confiance. Cette vulnérabilité permet à une application malveillante de demander des autorisations tout en se présentant comme une application légitime. Un attaquant peut demander l'accès à toutes les autorisations, y compris les SMS, les photos, le microphone et le GPS, lui permettant de lire des messages, d'afficher des photos, d'écouter des conversations et de suivre les mouvements de la victime.

En exploitant cette vulnérabilité, une application malveillante installée sur l'appareil peut piéger l'utilisateur, donc, lorsque vous cliquez sur l'icône d'une application légitime, c'est en fait une version malveillante qui apparaît à l'écran.

Lorsque la victime saisit ses informations de connexion sur cette interface, les informations confidentielles sont immédiatement envoyées à l'attaquant, qui peut alors se connecter et contrôler des applications susceptibles de contenir des informations sensibles.

La vulnérabilité s'appelait StrandHogg en référence à un vieux norrois qui désignait des tactiques vikings pour attaquer les zones côtières pour piller et détenir des personnes pour les secourir.

«StrandHogg est unique car il permet des attaques sophistiquées sans avoir à rooter un appareil, il utilise une faiblesse du système multitâche Android pour lancer des attaques puissantes qui permettent aux applications malveillantes de se faire passer pour n'importe quelle autre application sur l'appareil.

«Promon a recherché des logiciels malveillants du monde réel qui exploitent cette grave vulnérabilité et a découvert que les 500 applications les plus populaires (classées par le 42 Subject Barometer) sont vulnérables, toutes les versions d'Android étant affectées.

Androïde StrandHogg

Pour sa part, Lookout, un fournisseur de sécurité mobile et partenaire de Promon, a annoncé avoir trouvé 36 applications exploitant la vulnérabilité vol d'identité. Les applications malveillantes incluaient des variantes du cheval de Troie bancaire BankBot. BankBot est actif depuis 2017 et des applications malveillantes ont été trouvées à plusieurs reprises sur le marché de Google Play.

La vulnérabilité est plus sévère dans les versions 6 à 10, qui, selon eux, représentent environ 80% des téléphones Android dans le monde. Les attaques dans ces versions permettent aux applications malveillantes de demander des autorisations tout en se présentant comme des applications légitimes.

Il n'y a aucune limite aux autorisations que ces applications malveillantes peuvent rechercher. L'accès aux messages texte, photos, microphone, appareil photo et GPS font partie des autorisations possibles. La seule défense d'un utilisateur est de cliquer sur "non" aux demandes.

La vulnérabilité est dans une fonction appelée TaskAffinity, une fonction multitâche qui permet aux applications d'assumer l'identité d'autres applications ou tâches s'exécutant dans un environnement multitâche.

Des applications malveillantes peuvent exploiter cette fonctionnalité définir TaskAffinity pour une ou plusieurs de vos activités afin de correspondre au nom du package d'une application tierce approuvée.

Promon a déclaré que Google avait supprimé des applications malveillant du Play Sotre, mais jusqu'à présent, la vulnérabilité ne semble pas avoir été corrigée sur toutes les versions d'Android. Les représentants de Google n'ont pas répondu aux questions sur le moment où la vulnérabilité sera corrigée, le nombre d'applications Google Play exploitées ou le nombre d'utilisateurs finaux concernés.

StrandHogg représente la plus grande menace pour les utilisateurs moins expérimentésdonc ceux qui ont des handicaps cognitifs ou autres qui rendent difficile de prêter une attention particulière aux comportements subtils dans les applications.

Pourtant, les utilisateurs peuvent faire plusieurs choses pour détecter les applications malveillantes. essayer d'exploiter la vulnérabilité. Les signes suspects comprennent:

  • Une application ou un service auquel vous êtes déjà connecté vous oblige à vous connecter.
  • Fenêtres contextuelles d'autorisation qui ne contiennent pas le nom d'une application.
  • Les autorisations demandées d'une application qui ne devraient pas nécessiter ou exiger les autorisations demandées. Par exemple, une application de calcul demandant une autorisation GPS.
  • Erreurs typographiques et erreurs dans l'interface utilisateur.
  • Boutons et liens dans l'interface utilisateur qui ne font rien lorsqu'on clique dessus.
  • Le bouton Retour ne fonctionne pas comme prévu.

source: https://promon.co


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.