Dankzij StrandHogg kan Malware valse inlogschermen maken om uw wachtwoorden te stelen
Maandag hebben onderzoekers van een Noors mobiel beveiligingsbedrijf, Promon, publiekelijk een ernstige kwetsbaarheid in het Android-besturingssysteem bekendgemaakt. Het is nogal toepasselijk vernoemd naar StrandHogg - de Viking-tactiek om kustlijnen te plunderen en inheemse mensen te vangen met de bedoeling ze als slaven te verhandelen. Het beveiligingslek treft alle versies van het mobiele besturingssysteem van Google, inclusief de nieuwste Android 10, en volgens Promon kunnen hackers gebruikers van de 500 populairste applicaties in de Google Play Store aanvallen. Als misbruikt, biedt StrandHogg aanvallers de mogelijkheid om bijna alles te doen, van het bekijken van oproeplogboeken via inloggegevens voor phishing tot het bespioneren van mensen met de camera en microfoon van het apparaat. Voordat we echter zien hoe StrandHogg werkt, moeten we eerst leren hoe een typische aanval op Android zich ontvouwt.
Table of Contents
Hoe hackers Android-gebruikers meestal aanvallen
Het is een bekend feit dat een Android-apparaat een behoorlijk aanzienlijk aanvalsoppervlak heeft. Onze smartphones zijn min of meer aan onze handen gelijmd en we doen er tegenwoordig vrijwel alles aan. Hackers kunnen ze inderdaad gebruiken om gevoelige informatie te stelen en ons te bespioneren, maar het is niet zo eenvoudig als ons misleiden om een kwaadwillende toepassing te installeren.
Apps hebben meestal geen toegang tot alle hoeken en gaten van het besturingssysteem. Voordat ze bijvoorbeeld de microfoon van het apparaat kunnen gebruiken, moeten ze om expliciete toestemming vragen en als ze meer bewegingsvrijheid hebben, hebben ze beheerdersrechten nodig. In een typisch scenario bepaalt de gebruiker welke apps welke machtigingen krijgen en aanvallen mislukken daarom vaak. Het verkrijgen van de vereiste machtigingen zonder de specifieke toestemming van de eigenaar is mogelijk als het apparaat is geroot, maar het moet gezegd worden dat niet veel mensen weten hoe of de moeite kunnen worden genomen om hun smartphones te rooten.
Het probleem met StrandHogg is dat het kan werken op apparaten die niet zijn geroot, en in bepaalde exploitatiescenario's kan het alle benodigde rechten verkrijgen zonder dat de gebruiker iets vermoedt.
Hoe StrandHogg werkt
De kracht van StrandHogg ligt in het feit dat hackers zich kunnen voordoen als legitieme applicaties. De succesvolle exploitatie van StrandHogg vereist de installatie van een schadelijke toepassing door de gebruiker of een dropper-app. Volgens Promon kan de malware een legitieme functionaliteit hebben. Het belangrijkste doel is echter om een zwakte in het multitasking-systeem van Android te gebruiken, waardoor het een slimme truc kan uitvoeren die zelfs de meer oplettende gebruiker kan misleiden.
Vanwege die zwakte kan de malware de volgende keer dat de gebruiker een toepassing zoals Facebook start, een aanmeldingsformulier voor phishing weergeven. Nadat het de verzamelde inloggegevens naar de hackers heeft gestuurd, draait de nep-app op Facebook, wat de kans verkleint dat het slachtoffer ontdekt dat er iets niet klopt.
Met StrandHogg kan een kwaadwillende toepassing zich ook voordoen als een legitieme toepassing en om machtigingen vragen die moeilijk te verkrijgen zijn bij een meer gebruikelijke aanval. Als een weerapp van een derde of een rekenmachine bijvoorbeeld om toegang tot de camera van het apparaat vraagt, is het onwaarschijnlijk dat u meteen op de knop OK klikt. Als Facebook daarentegen om dezelfde toestemming vraagt, zou je denken dat dit volkomen normaal is, want zo maak je onderweg berichten en verhalen. Vanwege StrandHogg is de app waarmee u communiceert echter helemaal geen Facebook.
Met StrandHogg kan een kwaadwillende toepassing vrijwel elke toestemming krijgen die het nodig heeft, en daarom kan het beveiligingslek in zo'n breed scala van aanvalsscenario's worden gebruikt. Alsof dat niet genoeg was, is een succesvolle exploit erg moeilijk te detecteren. De experts van Promon merkten op dat u de kwaadwillende app mogelijk in het scherm Recente apps kunt vinden, maar ze zeiden dat de aanvallers een manier hebben om het voor u te verbergen. Het echt slechte nieuws is dat cybercriminelen al weten hoe ze misbruik moeten maken van de kwetsbaarheid en dat doen ze nu.
StrandHogg wordt al in het wild uitgebuit
Promons onderzoekers zeiden dat ze "tastbaar bewijs" hebben gezien van hackers die de StrandHogg-kwetsbaarheid gebruiken. Het hele onderzoek begon zelfs nadat verschillende banken in Tsjechië alarm hadden geslagen dat klanten hun rekeningen legen. Lookout, een van de partners van Promon, identificeerde in totaal 36 kwaadaardige toepassingen die StrandHogg in het wild hebben misbruikt. Een daarvan was een BankBot-variant die teruggaat tot 2017, en hoewel geen van de apps op Google Play woonde, werden sommige wel gedownload via droppers die beschikbaar waren in de officiële winkel van Android. Google verwijderde de apps onmiddellijk nadat het was aangemeld, maar het kon vervolgens niet zeggen wat het doet om ongetwijfeld een ernstig probleem op te lossen.
Hoewel Promon-onderzoekers hun bevindingen in de zomer met Google deelden, heeft StrandHogg zelfs invloed op de nieuwste vlaggenschipapparaten met de nieuwste versie van Android. Dit betekent dat het oplossen van het beveiligingslek te moeilijk is of dat Google niet te veel haast heeft om het te doen. Omdat de zoekmachine-gigant geen officieel commentaar heeft gegeven, weten we niet zeker waar het probleem ligt. Promons rapport vertelt ons echter dat toen de aspecten van de kwetsbaarheid door onderzoekers van Penn State University in 2015 werden beschreven, Google de ernst van StrandHogg verwierp. Hopelijk komt er binnenkort een patch met of zonder een officiële aankondiging.
