Dank StrandHogg kann Malware gefälschte Anmeldebildschirme erstellen, um Ihre Passwörter zu stehlen
Am Montag haben Forscher des norwegischen Mobilfunk-Sicherheitsunternehmens Promon öffentlich eine schwerwiegende Sicherheitslücke im Android-Betriebssystem aufgedeckt. Es ist ziemlich treffend nach StrandHogg benannt - der Wikinger-Taktik, Küstenlinien zu überfallen und Ureinwohner zu fangen, um sie als Sklaven zu handeln. Die Sicherheitsanfälligkeit betrifft alle Versionen des mobilen Betriebssystems von Google, einschließlich des neuesten Android 10, und laut Promon können Hacker damit Benutzer der 500 beliebtesten Anwendungen im Google Play Store angreifen. Wenn StrandHogg ausgenutzt wird, haben Angreifer die Möglichkeit, so gut wie alles zu tun, von der Überprüfung von Anrufprotokollen über Phishing-Anmeldeinformationen bis hin zur Spionage von Personen mit der Kamera und dem Mikrofon des Geräts. Bevor wir jedoch sehen, wie StrandHogg funktioniert, müssen wir erst lernen, wie sich ein typischer Angriff auf Android entwickelt.
Table of Contents
Wie Hacker normalerweise Android-Nutzer angreifen
Es ist eine bekannte Tatsache, dass ein Android-Gerät eine ziemlich signifikante Angriffsfläche aufweist. Unsere Smartphones kleben mehr oder weniger an unseren Händen, und wir machen heutzutage so ziemlich alles mit ihnen. Hacker können sie tatsächlich dazu verwenden, vertrauliche Informationen zu stehlen und uns auszuspionieren. Dies ist jedoch nicht so einfach, als würden wir eine bösartige Anwendung installieren.
Apps haben normalerweise keinen Zugriff auf alle Bereiche des Betriebssystems. Bevor sie beispielsweise das Mikrofon des Geräts verwenden können, müssen sie eine ausdrückliche Erlaubnis einholen. Um mehr Bewegungsfreiheit zu haben, benötigen sie Administratorrechte. In einem typischen Szenario entscheidet der Benutzer, welche Apps welche Berechtigungen erhalten, und Angriffe scheitern häufig daran. Das Erhalten der erforderlichen Berechtigungen ohne die ausdrückliche Zustimmung des Besitzers ist möglich, wenn das Gerät gerootet ist, aber es muss gesagt werden, dass nicht viele Leute wissen, wie oder sich die Mühe machen können, ihr Smartphone zu rooten.
Das Problem mit StrandHogg ist, dass es auf Geräten funktioniert, die nicht gerootet sind, und in bestimmten Ausnutzungsszenarien alle erforderlichen Berechtigungen erhalten kann, ohne dass der Benutzer etwas ahnt.
So funktioniert StrandHogg
Die Stärke von StrandHogg liegt in der Tatsache, dass Hacker legitime Anwendungen vortäuschen können. Die erfolgreiche Nutzung von StrandHogg erfordert die Installation einer schädlichen Anwendung durch den Benutzer oder eine Dropper-App. Laut Promon kann die Malware mit einer legitimen Funktionalität ausgestattet sein. Sein Hauptzweck ist es jedoch, eine Schwachstelle im Multitasking-System von Android auszunutzen, mit der es einen cleveren Trick ausführt, der sogar den aufmerksamen Benutzer täuschen kann.
Aufgrund dieser Schwachstelle kann die Malware beim nächsten Start einer Anwendung wie beispielsweise Facebook ein Phishing-Login anzeigen. Nachdem die gesammelten Anmeldeinformationen an die Hacker gesendet wurden, führt die gefälschte App Facebook aus, wodurch die Wahrscheinlichkeit verringert wird, dass das Opfer feststellt, dass etwas nicht stimmt.
Mit StrandHogg kann eine böswillige Anwendung sich auch als legitim ausgeben und nach Berechtigungen fragen, die bei einem normalen Angriff möglicherweise nur schwer zu bekommen sind. Wenn beispielsweise eine Wetter-App eines Drittanbieters oder ein Taschenrechner den Zugriff auf die Kamera des Geräts anfordert, ist es unwahrscheinlich, dass Sie sofort auf die Schaltfläche OK klicken. Wenn Facebook hingegen nach der gleichen Erlaubnis fragt, würden Sie denken, dass dies völlig normal ist, da Sie auf diese Weise unterwegs Posts und Storys erstellen. Aufgrund von StrandHogg ist die App, mit der Sie interagieren, möglicherweise überhaupt nicht Facebook.
Mit StrandHogg kann eine böswillige Anwendung so gut wie jede erforderliche Berechtigung erhalten, weshalb die Sicherheitsanfälligkeit in einer Vielzahl von Angriffsszenarien verwendet werden kann. Als ob das nicht genug wäre, ist ein erfolgreicher Exploit sehr schwer zu erkennen. Die Experten von Promon haben festgestellt, dass Sie die bösartige App möglicherweise auf dem Bildschirm "Zuletzt verwendete Apps" erkennen können. Sie haben jedoch die Möglichkeit, sie von den Angreifern vor Ihnen zu verbergen. Die wirklich schlechte Nachricht ist, dass Cyberkriminelle bereits wissen, wie sie die Sicherheitslücke ausnutzen können, und dies tun sie, während wir darüber sprechen.
StrandHogg wird bereits in freier Wildbahn ausgenutzt
Promons Forscher gaben an, dass sie "greifbare Beweise" dafür gesehen haben, dass Hacker die StrandHogg-Schwachstelle ausnutzen. Tatsächlich begann die gesamte Untersuchung, nachdem mehrere Banken in der Tschechischen Republik einen Alarm auslösten, weil Kunden ihre Konten leerten. Lookout, einer der Partner von Promon, identifizierte insgesamt 36 bösartige Anwendungen, die StrandHogg in freier Wildbahn ausnutzen. Eine davon war eine BankBot-Variante aus dem Jahr 2017. Obwohl sich keine der Apps auf Google Play befand, wurden einige von ihnen über Dropper heruntergeladen, die im offiziellen Android-Store erhältlich waren. Google hat die Apps sofort nach der Benachrichtigung entfernt, aber dann nicht gesagt, was getan wird, um das zweifellos schwerwiegende Problem zu beheben.
Obwohl die Forscher von Promon ihre Ergebnisse bereits im Sommer mit Google geteilt haben, wirkt sich StrandHogg auch auf die neuesten Flaggschiff-Geräte aus, auf denen die neueste Version von Android ausgeführt wird. Dies bedeutet, dass die Behebung der Sicherheitsanfälligkeit entweder zu schwierig ist oder Google es nicht zu eilig hat. Da der Suchmaschinenriese keinen offiziellen Kommentar abgegeben hat, können wir nicht sicher sein, wo das Problem liegt. Aus Promons Bericht geht jedoch hervor, dass Google, als 2015 von Forschern der Penn State University Aspekte der Sicherheitsanfälligkeit beschrieben wurden, den Schweregrad von StrandHogg abgelehnt hat. Hoffentlich kommt bald ein Patch mit oder ohne offizielle Ankündigung.
