Недавно обнаруженная уязвимость, названная StrandHogg , может позволить хакерам получить доступ к частным данным практически на любом телефоне Android и уже использовалась для доступа к банковской информации. Документированная охранной фирмой Promon, эксплойт затрагивает все версии Android.
Эксплойт StrandHogg не является чем-то новым — исследователи безопасности знают о проверочной версии с 2015 года. Рабочая и потенциально опасная версия эксплойта появилась совсем недавно в скрытой скрытой внутренней вредоносной программе, распространяющейся по всему миру. Интернет за прошедший год. Промон создал информационную страницу для эксплойта, узнав, насколько распространенным и опасным он может быть.
Эксплойт прерывает поток приложения от экрана запуска до экрана приветствия и вынуждает пользователя предоставить мощное разрешение частичке вредоносного ПО, прежде чем запускать законное приложение.
«Наши исследователи сконцентрировались на описании уязвимости как таковой, но мы также сотрудничали с Lookout Security, которая внесла вклад в некоторые части, отсканировав свои наборы данных о вредоносном ПО. Они обнаружили 36 вредоносных приложений, которые используют уязвимость», — сказал Ларс Люнд Биркеланд, маркетинговый агент Promon.
«Мы протестировали 500 самых популярных приложений, и все они уязвимы», — сказал он.
Все версии Android, включая Android 10, подвержены уязвимости и даже исправлены. По-видимому, защищенные телефоны предположительно уязвимы, согласно Promon.
Прячется на виду
Эксплойт работает, взломав легитимное приложение, так как оно запускается практически на любом телефоне Android. Вместо того чтобы переходить на экран приветствия или страницу входа в систему, эксплойт позволяет вредоносной программе отображать так называемые всплывающие окна с разрешениями, которые запрашивают, может ли приложение получить доступ к вашим контактам, местоположению и сохраненным данным. Когда вы одобряете запрос, вредоносное ПО получает все разрешения вместо легитимного приложения, которое продолжает работать, как будто ничего не произошло.
«Жертва нажимает на законное приложение, но вместо того, чтобы быть направленным на законное приложение, вредоносная программа обманывает устройство, чтобы показать всплывающее окно с разрешениями. Жертва дает вредоносному ПО и злоумышленнику разрешения, после чего вы перенаправляетесь на законное приложение. » —сказал Биркеланд.
Исследователи обнаружили, что троянская программа под названием BankBot использовала эксплойт для предоставления мощных разрешений, которые могли бы перехватывать SMS-сообщения, регистрировать нажатия клавиш, переадресовывать звонки и даже блокировать телефон до тех пор, пока вы не заплатите выкуп, что беспокоит любого, кто работает в банковском, финансовом или приложения кошелька на своем телефоне.
«Это хорошо известный банковский троян, и его можно увидеть в любой стране мира», — сказал Биркеланд.
Эксплойт также может показывать поддельную страницу входа для некоторых приложений на некоторых телефонах Android, но эксплойт разрешений гораздо более распространен.
Серьезное дело
«Уязвимость довольно серьезна. Вы, как злоумышленник, можете проводить довольно мощные атаки», — сказал Биркеланд.
Promon обнаружил вредоносное ПО, когда «несколько банков в Чешской Республике сообщили об исчезновении денег со счетов клиентов», — пишут исследователи.
Отсюда, благодаря своим исследованиям, Promon смог определить, что вредоносное ПО использовалось для использования опасной уязвимости Android. Lookout, партнер Promon, также подтвердил, что они обнаружили 36 вредоносных приложений, использующих эту уязвимость. Среди них были варианты Банковский троян BankBot наблюдался уже в 2017 году , — написали они.
«Хотя Google удалил уязвимые приложения, насколько нам известно, уязвимость еще не была исправлена ни для одной версии Android (включая Android 10)», — пишут исследователи.
Android #StrandHogg vulnerability
Vulnerability allows malicious app to masquerade as any other app on the device.
So, if you launch Facebook, malware is executed.See video demo how it works.https://t.co/19r1vPjQPY @Promon_Shield pic.twitter.com/F4Jie8bnQ1
— Lukas Stefanko (@LukasStefanko) December 2, 2019
Почему это называется Strandhogg? Это связано со шведскими корнями компании.
