Takket være StrandHogg kan skadelig programvare lage falske påloggingsskjermbilder for å stjele passordene dine
Mandag avslørte forskere fra et norsk mobilsikkerhetsselskap som heter Promon offentlig en alvorlig sårbarhet i Android-operativsystemet. Den er ganske treffende oppkalt etter StrandHogg - Viking-taktikken for å raidere kystlinjer og fange urfolk med den hensikt å handle dem som slaver. Sårbarheten påvirker alle versjoner av Googles mobile operativsystem, inkludert den nyeste Android 10, og ifølge Promon kan hackere angripe brukere av de 500 mest populære applikasjonene i Google Play-butikken. Hvis den blir utnyttet, gir StrandHogg angripere muligheten til å gjøre omtrent alt fra å gjennomgå anropslogger gjennom innloggingsinformasjon for phishing til å spionere på personer med enhetens kamera og mikrofon. Før vi ser hvordan StrandHogg fungerer, må vi imidlertid først lære hvordan et typisk angrep på Android utspiller seg.
Table of Contents
Hvordan hackere vanligvis angriper Android-brukere
Det er et kjent faktum at en Android-enhet presenterer en ganske betydelig angrepflate. Smarttelefonene våre er mer eller mindre limt til hendene våre, og vi gjør stort sett alt på dem i dag. Hackere kan faktisk bruke dem til å stjele sensitiv informasjon og spionere på oss, men å gjøre det er ikke så enkelt som å lure oss til å installere en ondsinnet applikasjon.
Apper har vanligvis ikke tilgang til alle kriker i operativsystemet. Før de for eksempel kan bruke enhetens mikrofon, må de be om eksplisitt tillatelse, og hvis de skal ha større bevegelsesfrihet, trenger de administrative rettigheter. I et typisk scenario er det brukeren som bestemmer hvilke apper som får hvilke tillatelser, og angrep mislykkes ofte på grunn av dette. Å få de nødvendige tillatelsene uten eierens spesifikke samtykke er mulig hvis enheten er forankret, men det må sies at ikke at mange vet hvordan eller kan bry seg om å rote smarttelefonene sine.
Problemet med StrandHogg er at det kan fungere på enheter som ikke er forankret, og i visse utnyttelsesscenarier kan det få alle tillatelser den trenger uten at brukeren mistenker noe.
Slik fungerer StrandHogg
StrandHogg's styrke ligger i det faktum at det lar hackere utgi seg for legitime applikasjoner. Den vellykkede utnyttelsen av StrandHogg krever installasjon av en ondsinnet applikasjon, enten av brukeren eller av en dropper-app. I følge Promon kan skadelig programvare komme med en slags legitim funksjonalitet. Hovedformålet er imidlertid å bruke en svakhet i Androids multitasking-system, som lar den utføre et smart triks som kan lure enda den mer observante brukeren.
På grunn av den svakheten kan skadelig programvare vise et påloggingsskjema for phishing neste gang brukeren lanserer et program som for eksempel Facebook. Etter at den har sendt innsamlet innloggingsinformasjon til hackere, kjører den falske appen Facebook, noe som reduserer sjansen for at offeret finner ut at noe ikke stemmer helt.
Ved å bruke StrandHogg kan en ondsinnet applikasjon også etterligne en legitim og be om tillatelser som kan være vanskelig å få i et mer vanlig angrep. For eksempel, hvis en tredjeparts vær-app eller en kalkulator ber om tilgang til enhetens kamera, er det lite sannsynlig at du klikker OK-knappen med en gang. Hvis Facebook derimot ber om samme tillatelse, vil du tro at dette er helt normalt fordi det er slik du lager innlegg og historier mens du er på farten. På grunn av StrandHogg er det imidlertid ikke sikkert at appen du samhandler med er Facebook.
Ved å bruke StrandHogg kan en ondsinnet applikasjon få stort sett all tillatelse den trenger, og det er grunnen til at sårbarheten kan brukes i et så bredt spekter av angrepscenarier. Som om det ikke var nok, er en vellykket utnyttelse veldig vanskelig å oppdage. Promons eksperter la merke til at du kanskje kunne se den ondsinnede appen i skjermbildet for nylig apper, men de sa at angriperne har en måte å skjule den for deg. Den virkelig dårlige nyheten er at nettkriminelle allerede vet hvordan de kan dra nytte av sårbarheten, og de gjør det mens vi snakker.
StrandHogg er allerede utnyttet i naturen
Promons forskere sa at de har sett "håndfaste bevis" på at hackere bruker StrandHogg-sårbarheten. Faktisk begynte hele etterforskningen etter at flere banker i Tsjekkia hørte alarmer om at kundene fikk tappet kontoene sine. Lookout, en av Promons partnere, identifiserte til sammen 36 ondsinnede applikasjoner som har blitt utnyttet StrandHogg i naturen. En av dem var en BankBot-variant som dateres tilbake til 2017, og selv om ingen av appene bodde på Google Play, ble noen av dem lastet ned via droppere som var tilgjengelige i Android's offisielle butikk. Google fjernet appene umiddelbart etter at de ble varslet, men den unnlot da å si hva den gjør for å fikse det som utvilsomt er et alvorlig problem.
Selv om Promons forskere delte funnene sine med Google allerede på sommeren, påvirker StrandHogg selv de nyeste flaggskipsenhetene som kjører Android siste versjon. Dette betyr at enten det er vanskelig å fikse sårbarheten, eller at Google ikke har det travelt med å gjøre det. Fordi søkemotorgiganten ikke har gitt noen offisiell kommentar, kan vi ikke være sikre på hvor problemet er. Promons rapport forteller oss at når aspekter av sårbarheten ble beskrevet av Penn State University-forskere i 2015, avviste Google StrandHoggs alvorlighetsgrad. Forhåpentligvis, med eller uten offisiell kunngjøring, kommer en oppdatering snart.
