Grâce à StrandHogg, Malware peut créer de faux écrans de connexion pour voler vos mots de passe.

StrandHogg Android Vulnerability

Lundi, des chercheurs d'une société norvégienne de sécurité mobile appelée Promon ont révélé publiquement une grave vulnérabilité du système d'exploitation Android. Il porte plutôt le nom de StrandHogg - la tactique viking consistant à attaquer les lignes côtières et à capturer les peuples autochtones dans l’intention de les échanger en tant qu’esclaves. Cette vulnérabilité concerne toutes les versions du système d'exploitation mobile de Google, y compris le dernier Android 10, et selon Promon, les pirates informatiques peuvent attaquer les utilisateurs des 500 applications les plus populaires du magasin Google Play. S'il est exploité, StrandHogg donne aux attaquants la possibilité de faire pratiquement tout, qu'il s'agisse de consulter les journaux d'appels via les informations de connexion de phishing ou d'espionner les personnes avec la caméra et le microphone de l'appareil. Avant de voir comment StrandHogg fonctionne, nous devons d'abord apprendre le déroulement d'une attaque typique sur Android.

Comment les pirates informatiques attaquent généralement les utilisateurs d'Android

C'est un fait bien connu qu'un appareil Android présente une surface d'attaque assez importante. Nos smartphones sont plus ou moins collés à nos mains, et nous faisons presque tout sur eux de nos jours. Les pirates peuvent en effet les utiliser pour voler des informations sensibles et nous espionner, mais le faire n’est pas aussi simple que de nous inciter à installer une application malveillante.

Les applications n'ont généralement pas accès à tous les coins et recoins du système d'exploitation. Avant de pouvoir utiliser le microphone de l'appareil, par exemple, ils doivent demander une autorisation explicite. Pour bénéficier d'une plus grande liberté de mouvement, ils doivent disposer de droits d'administration. Dans un scénario typique, c'est l'utilisateur qui décide quelles applications obtiennent quelles autorisations et les attaques échouent souvent pour cette raison. Obtenir les autorisations requises sans le consentement spécifique du propriétaire est possible si le périphérique est enraciné, mais force est de constater que peu de gens savent comment et peuvent être dérangés pour rooter leurs smartphones.

Le problème avec StrandHogg est qu’il peut fonctionner sur des périphériques non enracinés. Dans certains scénarios d’exploitation, il peut obtenir toutes les autorisations nécessaires sans que l’utilisateur ne soupçonne la moindre chose.

Comment fonctionne StrandHogg

La force de StrandHogg réside dans le fait qu’il permet aux pirates de se faire passer pour des applications légitimes. L’exploitation réussie de StrandHogg nécessite l’installation d’une application malveillante, soit par l’utilisateur, soit par une application compte-gouttes. Selon Promon, le malware peut venir avec une sorte de fonctionnalité légitime. Cependant, son objectif principal est d’utiliser une faiblesse du système multitâche d’Android, ce qui lui permet de réaliser une astuce intelligente qui peut tromper les utilisateurs les plus avertis.

En raison de cette faiblesse, le logiciel malveillant peut afficher un formulaire de connexion phishing lors du prochain lancement d'une application telle que Facebook, par exemple. Après avoir envoyé les identifiants de connexion collectés aux pirates, la fausse application exécute Facebook, ce qui réduit les risques que la victime découvre que quelque chose ne va pas.

En utilisant StrandHogg, une application malveillante peut également emprunter l'identité d'une application légitime et demander des autorisations qui pourraient être difficiles à obtenir lors d'une attaque plus habituelle. Par exemple, si une application météo tierce ou une calculatrice demande l'accès à la caméra du périphérique, il est peu probable que vous cliquiez immédiatement sur le bouton OK. Si, par contre, Facebook demande la même permission, on pourrait penser que c'est parfaitement normal, car c'est ainsi que vous créez des articles et des histoires à tout moment. En raison de StrandHogg, toutefois, l'application avec laquelle vous interagissez peut ne pas être Facebook du tout.

Avec StrandHogg, une application malveillante peut obtenir à peu près toutes les autorisations nécessaires. C'est pourquoi la vulnérabilité peut être utilisée dans un si large éventail de scénarios d'attaque. Comme si cela ne suffisait pas, un exploit réussi est très difficile à détecter. Les experts de Promon ont noté que vous pourriez peut-être localiser l'application malveillante sur l'écran Applications récentes, mais ils ont indiqué que les attaquants avaient le moyen de vous la cacher. La très mauvaise nouvelle est que les cybercriminels savent déjà comment tirer parti de la vulnérabilité et le font en ce moment même.

StrandHogg est déjà exploité à l'état sauvage

Les chercheurs de Promon ont déclaré avoir découvert "des preuves tangibles" de l'utilisation de la vulnérabilité StrandHogg par des pirates. En fait, l’ensemble de l’enquête a commencé après que plusieurs banques de la République tchèque ont sonné l'alarme quant à l'assèchement des comptes de leurs clients. Lookout, l'un des partenaires de Promon, a identifié un total de 36 applications malveillantes qui ont été vues en train d'exploiter StrandHogg à l'état sauvage. L'un d'eux était une variante BankBot datant de 2017 et, bien qu'aucune des applications ne réside sur Google Play, certaines d'entre elles ont été téléchargées via des compte-gouttes disponibles sur le magasin officiel d'Android. Google a supprimé les applications immédiatement après avoir été averti, mais il n'a pas expliqué ce qu'il faisait pour résoudre ce problème qui est sans aucun doute grave.

Bien que les chercheurs de Promon aient communiqué leurs résultats à Google au cours de l'été, StrandHogg affecte même les derniers appareils phares dotés de la dernière version d'Android. Cela signifie que résoudre la vulnérabilité s'avère trop difficile ou que Google n'est pas trop pressé de le faire. Parce que le géant des moteurs de recherche n'a pas publié de commentaire officiel, nous ne pouvons pas savoir où est le problème. Le rapport de Promon nous indique toutefois que lorsque des chercheurs ont analysé certains aspects de la vulnérabilité en 2015, Google a écarté la gravité de StrandHogg. Espérons que, avec ou sans annonce officielle, un patch arrive bientôt.

Par Duran
December 5, 2019
News
Français
December 5, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.