Noen dager siden Forskere fra sikkerhetsselskapet Promon løslatt ved å legge ut på bloggen din en sårbarhet som påvirker millioner av Android-telefoner. Dette funnet sårbarheten utnyttes aktivt av ondsinnet programvare designet for å tømme bankkontoer til infiserte brukere.
Denne sårbarheten lar skadelige applikasjoner late som å være legitime applikasjoner at målene allerede er installert og stoler på. Denne sårbarheten lar en ondsinnet app be om tillatelser mens du stiller som en legitim applikasjon. En angriper kan be om tilgang til alle tillatelser, inkludert SMS, bilder, mikrofon og GPS, slik at han kan lese meldinger, se bilder, lytte til samtaler og spore offerets bevegelser.
Ved å utnytte denne sårbarheten, et ondsinnet program installert på enheten kan fange brukeren, Derfor, når du klikker på ikonet til et legitimt program, er det faktisk en ondsinnet versjon som vises på skjermen.
Når offeret legger inn påloggingsinformasjonen sin på dette grensesnittet, sendes konfidensiell informasjon umiddelbart til angriperen, som deretter kan koble til og kontrollere applikasjoner som kan inneholde sensitiv informasjon.
Sårbarheten ble kalt StrandHogg med referanse til en gammel norrøner som utpekte vikingtaktikk for å angripe kystområder for å plyndre og fange mennesker for redning.
“StrandHogg, er unik fordi den tillater sofistikerte angrep uten å måtte rote en enhet, den bruker en svakhet ved Android multitasking-systemet for å starte kraftige angrep som gjør at ondsinnede applikasjoner kan late som om de er andre applikasjoner på enheten.
“Promon har forsket på malware fra den virkelige verden som utnytter denne alvorlige sårbarheten, og har funnet ut at de 500 mest populære applikasjonene (rangert etter 42 Subject Barometer) er sårbare, med alle Android-versjoner berørt.
For sin del, Lookout, en mobil sikkerhetsleverandør og partner av Promon, kunngjorde at de fant 36 applikasjoner som utnyttet sårbarheten. identitetstyveri. De ondsinnede appene inkluderte varianter av BankBot banking Trojan. BankBot har vært aktiv siden 2017, og malware-apper har blitt funnet flere ganger på Google Play-markedet.
Sårbarheten er mer alvorlig i versjon 6 til 10, som ifølge står for omtrent 80% av Android-telefoner i verden. Angrep i disse versjonene gjør at ondsinnede applikasjoner kan be om tillatelse mens de presenterer seg som legitime applikasjoner.
Det er ingen grense for tillatelsene som disse ondsinnede applikasjonene kan søke. Tilgang til tekstmeldinger, bilder, mikrofon, kamera og GPS er noen av de mulige tillatelsene. En brukers eneste forsvar er å klikke "nei" for forespørsler.
Sårbarheten er i en funksjon kjent som TaskAffinity, en multitasking-funksjon som lar applikasjoner anta identiteten til andre applikasjoner eller oppgaver kjører i multitasking-miljø.
Ondsinnede applikasjoner kan utnytte denne funksjonen definere TaskAffinity for en eller flere av aktivitetene dine for å matche pakkenavnet til et pålitelig tredjepartsprogram.
Promon sa at Google har fjernet apper ondsinnet fra Play Sotre, men så langt ser sårbarheten ikke ut til å være løst på alle versjoner av Android. Googles representanter svarte ikke på spørsmål om når sårbarheten vil bli løst, antall Google Play-apper som blir utnyttet eller antall berørte sluttbrukere.
StrandHogg utgjør den største trusselen mot mindre erfarne brukereså de med kognitive eller andre funksjonshemninger som gjør det vanskelig å følge nøye med på subtil oppførsel i apper.
Likevel er det flere ting som brukere kan gjøre for å oppdage ondsinnede apper. prøver å utnytte sårbarheten. Mistenkelige tegn inkluderer:
- En applikasjon eller tjeneste du allerede er koblet til, krever at du logger på.
- Autoriseringsvinduer som ikke inneholder navnet på et program.
- De forespurte tillatelsene for en applikasjon som ikke skal kreve eller kreve de forespurte tillatelsene. For eksempel en kalkulatorapplikasjon som ber om GPS-autorisasjon.
- Typografiske feil og feil i brukergrensesnittet.
- Knapper og lenker i brukergrensesnittet som ikke gjør noe når du klikker på dem.
- Tilbake-knappen fungerer ikke som forventet.
Fuente: https://promon.co