Dzięki StrandHogg złośliwe oprogramowanie może tworzyć fałszywe ekrany logowania w celu kradzieży haseł
W poniedziałek naukowcy z norweskiej firmy zajmującej się bezpieczeństwem urządzeń mobilnych o nazwie Promon publicznie ujawnili poważną lukę w zabezpieczeniach systemu operacyjnego Android. Jest dość trafnie nazwany na cześć StrandHogga - taktyki wikingów polegającej na najeżdżaniu linii brzegowych i chwytaniu rdzennej ludności z zamiarem handlu nimi jako niewolnikami. Luka dotyczy wszystkich wersji mobilnego systemu operacyjnego Google, w tym najnowszego Androida 10, a według Promona hakerzy mogą za jego pomocą atakować użytkowników 500 najpopularniejszych aplikacji w sklepie Google Play. Jeśli zostanie wykorzystany, StrandHogg daje atakującym możliwość robienia wszystkiego, od przeglądania dzienników połączeń, poprzez dane logowania phishingowe, po szpiegowanie osób za pomocą kamery i mikrofonu urządzenia. Zanim jednak zobaczymy, jak działa StrandHogg, musimy najpierw dowiedzieć się, jak rozwija się typowy atak na Androida.
Table of Contents
Jak hakerzy zwykle atakują użytkowników Androida
Powszechnie wiadomo, że urządzenie z Androidem ma dość znaczną powierzchnię ataku. Nasze smartfony są mniej więcej przyklejone do naszych rąk i robimy na nich prawie wszystko. Hakerzy rzeczywiście mogą ich używać do kradzieży poufnych informacji i szpiegowania nas, ale nie jest to tak proste, jak nakłonienie nas do zainstalowania złośliwej aplikacji.
Aplikacje zwykle nie mają dostępu do każdego zakątka systemu operacyjnego. Na przykład, zanim będą mogli korzystać z mikrofonu urządzenia, muszą poprosić o wyraźną zgodę, a jeśli mają mieć większą swobodę przemieszczania się, potrzebują uprawnień administracyjnych. W typowym scenariuszu to użytkownik decyduje, które aplikacje otrzymają uprawnienia, a ataki często nie udają się z tego powodu. Uzyskanie wymaganych uprawnień bez konkretnej zgody właściciela jest możliwe, jeśli urządzenie jest zrootowane, ale trzeba powiedzieć, że nie tak wiele osób wie, jak lub nie można zrootować rootowania swoich smartfonów.
Problem z StrandHogg polega na tym, że może on działać na urządzeniach, które nie są zrootowane, aw niektórych scenariuszach eksploatacji może uzyskać wszystkie potrzebne uprawnienia bez podejrzeń użytkownika.
Jak działa StrandHogg
Siła StrandHogg polega na tym, że pozwala hakerom podszywać się pod legalne aplikacje. Pomyślne wykorzystanie StrandHogg wymaga instalacji złośliwej aplikacji przez użytkownika lub aplikację typu dropper. Według Promon złośliwe oprogramowanie może posiadać pewną legalną funkcjonalność. Jego głównym celem jest jednak wykorzystanie słabości w wielozadaniowym systemie Android, który pozwala mu wykonać sprytną sztuczkę, która może oszukać nawet bardziej uważnego użytkownika.
Z powodu tej słabości złośliwe oprogramowanie może wyświetlić formularz logowania do phishingu przy następnym uruchomieniu aplikacji takiej jak na przykład Facebook. Po wysłaniu zebranych danych logowania do hakerów fałszywa aplikacja działa na Facebooku, co zmniejsza szanse ofiary na stwierdzenie, że coś jest nie tak.
Korzystając z StrandHogg, złośliwa aplikacja może również podszyć się pod legalną i poprosić o uprawnienia, które mogą być trudne do uzyskania w zwykłym ataku. Na przykład, jeśli aplikacja pogodowa lub kalkulator innej firmy prosi o dostęp do kamery urządzenia, mało prawdopodobne jest, aby od razu kliknąć przycisk OK. Jeśli z drugiej strony Facebook prosi o to samo pozwolenie, pomyślałbyś, że jest to całkowicie normalne, ponieważ w ten sposób tworzysz posty i historie w podróży. Jednak ze względu na StrandHogg aplikacją, z którą wchodzisz w interakcję, może wcale nie być Facebook.
Korzystając z StrandHogg, złośliwa aplikacja może uzyskać prawie wszelkie potrzebne uprawnienia, dlatego tę lukę można wykorzystać w tak szerokim zakresie scenariuszy ataku. Jakby tego było mało, udany exploit jest bardzo trudny do wykrycia. Eksperci Promon zauważyli, że możesz wykryć złośliwą aplikację na ekranie Najnowsze aplikacje, ale powiedzieli, że napastnicy potrafią ukryć ją przed tobą. Naprawdę zła wiadomość jest taka, że cyberprzestępcy już wiedzą, jak wykorzystać tę lukę, i robią to w trakcie naszej rozmowy.
StrandHogg jest już wykorzystywany na wolności
Badacze Promona powiedzieli, że widzieli „namacalne dowody” hakerów wykorzystujących lukę StrandHogg. W rzeczywistości całe dochodzenie rozpoczęło się po tym, jak kilka banków w Czechach usłyszało alarmy o opróżnieniu klientów. Lookout, jeden z partnerów Promon, zidentyfikował w sumie 36 złośliwych aplikacji, które widziały jak wykorzystują StrandHogg na wolności. Jednym z nich był wariant BankBot z 2017 roku i chociaż żadna z aplikacji nie była zainstalowana w Google Play, niektóre z nich zostały pobrane za pośrednictwem dropperów dostępnych w oficjalnym sklepie Androida. Google usunął aplikacje natychmiast po otrzymaniu powiadomienia, ale nie powiedział, co robi, aby naprawić niewątpliwie poważny problem.
Chociaż badacze Promon dzielili się swoimi odkryciami z Google latem, StrandHogg wpływa nawet na najnowsze flagowe urządzenia z najnowszą wersją Androida. Oznacza to, że albo usunięcie luki okazuje się zbyt trudne, albo Google nie spieszy się z tym zbytnio. Ponieważ gigant wyszukiwarek nie wydał oficjalnego komentarza, nie możemy być pewni, gdzie jest problem. Raport Promona mówi nam jednak, że gdy w 2015 r. Badacze Penn State University opisali aspekty tej luki, Google odrzucił wagę StrandHogga. Mamy nadzieję, że z oficjalnym ogłoszeniem lub bez niego łatka będzie dostępna wkrótce.
