StrandHoggのおかげで、マルウェアは偽のログイン画面を作成してパスワードを盗むことができます
月曜日、ノルウェーのモバイルセキュリティ企業であるPromonの研究者が、Androidオペレーティングシステムの深刻な脆弱性を公表しました。海岸線を襲撃し、彼らを奴隷として取引する意図で先住民を捕まえるバイキングの戦術であるStrandHoggにちなんで、適切な名前が付けられています。この脆弱性は、最新のAndroid 10を含むGoogleのモバイルオペレーティングシステムのすべてのバージョンに影響し、Promonによると、ハッカーはGoogle Playストアで最も人気のある500のアプリケーションのユーザーを攻撃できます。 StrandHoggが悪用された場合、攻撃者は、フィッシングログイン資格情報を介して通話ログを確認することから、デバイスのカメラとマイクを使用して人々をスパイすることまで、ほぼあらゆることを実行できます。ただし、StrandHoggがどのように機能するかを見る前に、Androidに対する典型的な攻撃がどのように展開するかを最初に知る必要があります。
Table of Contents
ハッカーが通常Androidユーザーを攻撃する方法
Androidデバイスがかなり重大な攻撃対象となることはよく知られている事実です。私たちのスマートフォンは多かれ少なかれ私たちの手に接着されており、私たちは今日それらのほとんどすべてを行っています。ハッカーはそれらを使用して機密情報を盗み、私たちをスパイすることができますが、悪意のあるアプリケーションをインストールするように私たちをtrickすほど簡単ではありません。
通常、アプリはオペレーティングシステムの隅々までアクセスできるわけではありません。たとえば、デバイスのマイクを使用する前に、明示的な許可を求める必要があります。移動の自由度を高めるには、管理者権限が必要です。典型的なシナリオでは、ユーザーは、どのアプリがどの許可を取得するかを決定する人であり、これが原因で攻撃が失敗することがよくあります。デバイスがルート化されている場合、所有者の明確な同意なしに必要な権限を取得することは可能ですが、スマートフォンをルート化する方法を知っている人やわからない人はそれほど多くはいません。
StrandHoggの問題は、ルート化されていないデバイスで動作し、特定の悪用シナリオでは、ユーザーが何かを疑うことなく必要なすべての権限を取得できることです。
StrandHoggの仕組み
StrandHoggの強みは、ハッカーが正当なアプリケーションになりすますことができるという事実にあります。 StrandHoggを悪用するには、ユーザーまたはドロッパーアプリによる悪意のあるアプリケーションのインストールが必要です。 Promonによると、マルウェアには何らかの正当な機能が搭載されている可能性があります。ただし、主な目的は、Androidのマルチタスクシステムの弱点を利用することです。これにより、より注意深いユーザーをだますことができる巧妙なトリックを実行できます。
その弱点のため、マルウェアは、たとえばユーザーがFacebookなどのアプリケーションを次に起動したときにフィッシングログインフォームを表示できます。収集したログイン資格情報をハッカーに送信した後、偽のアプリはFacebookを実行します。これにより、被害者が何かが正しくないと判断する可能性が低くなります。
StrandHoggを使用すると、悪意のあるアプリケーションが正当なアプリケーションになりすまして、通常の攻撃では取得が困難なアクセス許可を要求することもできます。たとえば、サードパーティの天気アプリや電卓がデバイスのカメラへのアクセスを要求している場合、すぐに[OK]ボタンをクリックすることはほとんどありません。一方、Facebookが同じ許可を求めている場合、これは外出先で投稿やストーリーを作成する方法であるため、これは完全に正常であると思われます。ただし、StrandHoggのせいで、操作しているアプリはまったくFacebookではない可能性があります。
StrandHoggを使用すると、悪意のあるアプリケーションが必要とするほとんどすべての許可を取得できるため、このような広範な攻撃シナリオで脆弱性を使用できるのです。それだけでは不十分であるかのように、悪用の成功は検出が非常に困難です。 Promonの専門家は、最近のアプリ画面で悪意のあるアプリを見つけることができるかもしれないと指摘していましたが、攻撃者はあなたからそれを隠す方法があると言いました。本当に悪いニュースは、サイバー犯罪者はすでに脆弱性を利用する方法を知っていて、彼らが話しているようにそれをやっているということです。
StrandHoggはすでに野生で悪用されています
Promonの研究者は、StrandHogg脆弱性を使用するハッカーの「具体的な証拠」を見たと述べています。実際、チェコ共和国の複数の銀行が、顧客が口座を空にしたという警告を発した後、調査全体が始まりました。 Promonのパートナーの1つであるLookoutは、実際にStrandHoggを悪用した合計36個の悪意のあるアプリケーションを特定しました。それらの1つは2017年に遡るBankBotバリアントであり、Google Playに存在するアプリはありませんでしたが、それらのいくつかはAndroidの公式ストアで入手可能なドロッパー経由でダウンロードされました。 Googleは通知された直後にアプリを削除しましたが、間違いなく重大な問題を修正するために何をしているのかを言うことができませんでした。
Promonの研究者たちは、夏に調査結果をGoogleと共有しましたが、StrandHoggはAndroidの最新バージョンを実行している最新のフラッグシップデバイスにも影響を及ぼします。これは、この脆弱性の修正が非常に困難であることを証明するか、Googleがそれを急ぐほどではないことを意味します。検索エンジンの巨人は公式のコメントを発行していないため、問題がどこにあるのか確信が持てません。しかし、Promonのレポートは、2015年にペンシルベニア州立大学の研究者によって脆弱性の側面が説明されたとき、GoogleはStrandHoggの重大度を却下したことを示しています。公式発表の有無にかかわらず、パッチが近日中にリリースされることを願っています。