Grazie a StrandHogg, i malware possono creare schermate di accesso false per rubare le password
Lunedì, i ricercatori di una società norvegese di sicurezza mobile chiamata Promon hanno rivelato pubblicamente una grave vulnerabilità nel sistema operativo Android. Prende piuttosto il nome da StrandHogg - la tattica vichinga di razziare le coste e catturare gli indigeni con l'intenzione di scambiarli come schiavi. La vulnerabilità interessa tutte le versioni del sistema operativo mobile di Google, incluso l'ultimo Android 10, e secondo Promon, con esso, gli hacker possono attaccare gli utenti delle 500 applicazioni più popolari sul Google Play Store. Se sfruttato, StrandHogg offre agli aggressori la possibilità di fare qualsiasi cosa, dalla revisione dei registri delle chiamate attraverso le credenziali di accesso al phishing allo spionaggio delle persone con la videocamera e il microfono del dispositivo. Prima di vedere come funziona StrandHogg, tuttavia, dobbiamo prima scoprire come si sviluppa un tipico attacco su Android.
Table of Contents
Come gli hacker di solito attaccano gli utenti Android
È risaputo che un dispositivo Android presenta una superficie di attacco piuttosto significativa. I nostri smartphone sono più o meno incollati alle nostre mani e oggi facciamo praticamente tutto su di loro. Gli hacker possono effettivamente usarli per rubare informazioni sensibili e spiarci, ma farlo non è così semplice come ingannarci nell'installazione di un'applicazione dannosa.
Le app di solito non hanno accesso a tutti gli angoli del sistema operativo. Prima di poter utilizzare il microfono del dispositivo, ad esempio, devono richiedere un'autorizzazione esplicita e, se devono avere più libertà di movimento, hanno bisogno dei diritti amministrativi. In uno scenario tipico, l'utente è quello che decide quali app ottengono quali autorizzazioni e gli attacchi spesso falliscono a causa di ciò. Ottenere le autorizzazioni necessarie senza il consenso specifico del proprietario è possibile se il dispositivo è rootato, ma bisogna dire che non molte persone sanno come o possono essere disturbate a eseguire il root dei loro smartphone.
Il problema con StrandHogg è che può funzionare su dispositivi non rootati e, in alcuni scenari di sfruttamento, può ottenere tutte le autorizzazioni necessarie senza che l'utente sospetti nulla.
Come funziona StrandHogg
La forza di StrandHogg sta nel fatto che consente agli hacker di impersonare applicazioni legittime. Lo sfruttamento riuscito di StrandHogg richiede l'installazione di un'applicazione dannosa da parte dell'utente o di un'app dropper. Secondo Promon, il malware può avere una sorta di funzionalità legittima. Il suo scopo principale, tuttavia, è utilizzare una debolezza del sistema multitasking di Android, che gli consente di eseguire un trucco intelligente che può ingannare anche l'utente più attento.
A causa di questa debolezza, il malware può visualizzare un modulo di accesso al phishing la prossima volta che l'utente avvia un'applicazione come Facebook, ad esempio. Dopo aver inviato le credenziali di accesso raccolte agli hacker, l'app finta esegue Facebook, il che riduce le possibilità che la vittima capisca che qualcosa non va.
Utilizzando StrandHogg, un'applicazione dannosa può anche impersonare una legittima e richiedere autorizzazioni che potrebbero essere difficili da ottenere in un attacco più usuale. Ad esempio, se un'app meteo di terze parti o una calcolatrice richiede l'accesso alla videocamera del dispositivo, è improbabile che si faccia clic sul pulsante OK immediatamente. Se, d'altra parte, Facebook chiedesse la stessa autorizzazione, penseresti che sia perfettamente normale perché è così che crei post e storie in movimento. A causa di StrandHogg, tuttavia, l'app con cui stai interagendo potrebbe non essere affatto Facebook.
Utilizzando StrandHogg, un'applicazione dannosa può ottenere praticamente qualsiasi autorizzazione di cui abbia bisogno, motivo per cui la vulnerabilità può essere utilizzata in una così vasta gamma di scenari di attacco. Come se ciò non bastasse, un exploit di successo è molto difficile da rilevare. Gli esperti di Promon hanno notato che potresti essere in grado di individuare l'app dannosa nella schermata App recenti, ma hanno detto che gli aggressori hanno un modo per nasconderti da te. La brutta notizia è che i criminali informatici sanno già come sfruttare la vulnerabilità e lo stanno facendo mentre parliamo.
StrandHogg è già sfruttato in natura
I ricercatori di Promon hanno dichiarato di aver visto "prove tangibili" di hacker che utilizzano la vulnerabilità StrandHogg. In effetti, l'intera indagine è iniziata dopo che diverse banche nella Repubblica Ceca hanno lanciato allarmi per i clienti che hanno scaricato i loro conti. Lookout, uno dei partner di Promon, ha identificato un totale di 36 applicazioni dannose che sono state viste sfruttando StrandHogg in natura. Una di queste era una variante di BankBot risalente al 2017, e sebbene nessuna delle app risiedesse su Google Play, alcune di esse sono state scaricate tramite dropper disponibili nello store ufficiale di Android. Google ha rimosso le app immediatamente dopo la sua notifica, ma non è riuscito a dire cosa sta facendo per risolvere senza dubbio un problema serio.
Sebbene i ricercatori di Promon abbiano condiviso le loro scoperte con Google già in estate, StrandHogg colpisce anche i dispositivi di punta più recenti con l'ultima versione di Android. Ciò significa che o la correzione della vulnerabilità si sta rivelando troppo difficile o Google non ha troppa fretta di farlo. Poiché il gigante dei motori di ricerca non ha rilasciato un commento ufficiale, non possiamo essere sicuri di dove sia il problema. Il rapporto di Promon ci dice, tuttavia, che quando alcuni aspetti della vulnerabilità sono stati descritti dai ricercatori della Penn State University nel 2015, Google ha respinto la gravità di StrandHogg. Spero che, con o senza un annuncio ufficiale, una patch sia in arrivo.
