几天前 安全公司Promon的研究人员被释放 通过在您的博客上发布 一个影响数百万部Android手机的漏洞。 发现的此漏洞已被旨在耗尽受感染用户的银行帐户的恶意软件所积极利用。
这个漏洞 允许恶意应用程序伪装成合法应用程序 目标已经安装并信任。 这个漏洞 允许恶意应用请求权限 同时冒充为合法申请。 攻击者可以请求访问所有权限,包括SMS,照片,麦克风和GPS,从而允许他阅读消息,查看照片,收听对话以及跟踪受害者的活动。
通过利用此漏洞, 设备上安装的恶意应用程序可能会诱捕用户, 因此,当您单击合法应用程序的图标时,它实际上是显示在屏幕上的恶意版本。
当受害者在此界面上输入登录信息时,机密信息将立即发送给攻击者,然后攻击者可以连接和控制可能包含敏感信息的应用程序。
该漏洞被称为StrandHogg 提到一个古老的北欧人,后者指定了维京人战术来袭击沿海地区,抢劫和拘留人们进行营救。
“ StrandHogg之所以与众不同,是因为它无需根设备即可进行复杂的攻击,它利用Android多任务处理系统的弱点来发起强大的攻击,从而使恶意应用程序伪装成设备上的任何其他应用程序。
“ Promon一直在研究利用此严重漏洞的现实世界恶意软件,并发现500个最流行的应用程序(按42 Subject Barometer排名)容易受到攻击,所有版本的Android均受影响。
就其本身而言, 移动安全提供商和Promon的合作伙伴Lookout宣布发现36个利用此漏洞的应用程序 身份盗窃。 恶意应用程序包括BankBot银行木马的变体。 自2017年以来,BankBot一直处于活跃状态,并且在Google Play市场上多次发现恶意软件应用程序。
该漏洞在版本6至10中更为严重,据称它约占全球Android手机的80%。 这些版本中的攻击使恶意应用程序可以在将自己显示为合法应用程序时请求权限。
这些恶意应用程序可以搜索的权限没有限制. 某些可能的权限包括访问短信,照片,麦克风,相机和GPS。 用户唯一的防御方法是单击“否”以请求。
该漏洞位于一个称为TaskAffinity的函数中,一个多任务处理功能, 允许应用程序承担其他应用程序或任务的身份 在多任务环境中运行。
恶意应用程序可以利用此功能 为您的一个或多个活动定义TaskAffinity以匹配受信任的第三方应用程序的程序包名称。
Promon表示Google已删除应用 来自Play Sotre的恶意内容, 但到目前为止,该漏洞似乎尚未修复 在所有版本的Android上。 Google代表未回答有关何时修复漏洞,正在利用的Google Play应用数量或受影响的最终用户数量的问题。
StrandHogg对经验不足的用户构成最大威胁因此具有认知障碍或其他障碍的人很难密切关注应用程序中的细微行为。
尽管如此,用户仍可以执行几项操作来检测恶意应用程序。 试图利用此漏洞。 可疑迹象包括:
- 您已经连接到的应用程序或服务需要您登录。
- 不包含应用程序名称的授权弹出窗口。
- 应用程序的请求权限,该权限应该不需要或不需要请求权限。 例如,一个计算器应用程序请求GPS授权。
- 印刷错误和用户界面中的错误。
- 用户界面中的按钮和链接在单击时不起作用。
- 后退按钮无法正常工作。
数据来源: https://promon.co