Graças ao StrandHogg, o malware pode criar telas de login falsas para roubar suas senhas

StrandHogg Android Vulnerability

Na segunda-feira, pesquisadores de uma empresa norueguesa de segurança móvel chamada Promon divulgaram publicamente uma séria vulnerabilidade no sistema operacional Android. É um nome bastante apropriado para StrandHogg - a tática viking de invadir as linhas costeiras e capturar povos indígenas com a intenção de comercializá-los como escravos. A vulnerabilidade afeta todas as versões do sistema operacional móvel do Google, incluindo o Android 10 mais recente, e de acordo com a Promon, os hackers podem atacar os usuários dos 500 aplicativos mais populares da loja Google Play. Se explorado, o StrandHogg oferece aos invasores a capacidade de fazer qualquer coisa, desde revisar os registros de chamadas, passando pelas credenciais de login de phishing até espionar pessoas com a câmera e o microfone do dispositivo. Antes de vermos como o StrandHogg funciona, primeiro precisamos aprender como se desenrola um ataque típico ao Android.

Como os hackers geralmente atacam usuários do Android

É um fato bem conhecido que um dispositivo Android apresenta uma superfície de ataque bastante significativa. Nossos smartphones estão mais ou menos colados às nossas mãos e hoje fazemos praticamente tudo o que há neles. Os hackers podem realmente usá-los para roubar informações confidenciais e nos espionar, mas fazer isso não é tão simples quanto nos induzir a instalar um aplicativo mal-intencionado.

Os aplicativos geralmente não têm acesso a todos os cantos do sistema operacional. Antes de poder usar o microfone do dispositivo, por exemplo, eles precisam pedir permissão explícita e, para ter mais liberdade de movimento, precisam de direitos administrativos. Em um cenário típico, é o usuário que decide quais aplicativos obtêm quais permissões e os ataques geralmente falham por causa disso. É possível obter as permissões necessárias sem o consentimento específico do proprietário se o dispositivo estiver enraizado, mas deve-se dizer que poucas pessoas sabem ou podem se incomodar em enraizar seus smartphones.

O problema do StrandHogg é que ele pode funcionar em dispositivos não enraizados e, em certos cenários de exploração, pode obter todas as permissões necessárias sem que o usuário suspeite de algo.

Como o StrandHogg funciona

A força do StrandHogg reside no fato de permitir que os hackers personifiquem aplicativos legítimos. A exploração bem-sucedida do StrandHogg requer a instalação de um aplicativo mal-intencionado pelo usuário ou por um aplicativo conta-gotas. Segundo a Promon, o malware pode vir com algum tipo de funcionalidade legítima. Seu principal objetivo, no entanto, é usar uma fraqueza no sistema multitarefa do Android, que permite executar um truque inteligente que pode enganar até os usuários mais atentos.

Por causa dessa fraqueza, o malware pode exibir um formulário de login de phishing na próxima vez que o usuário iniciar um aplicativo como o Facebook, por exemplo. Depois de enviar as credenciais de login coletadas para os hackers, o aplicativo falso executa o Facebook, o que reduz as chances de a vítima descobrir que algo não está certo.

Usando o StrandHogg, um aplicativo mal-intencionado também pode se passar por um legítimo e solicitar permissões que podem ser difíceis de obter em um ataque mais comum. Por exemplo, se um aplicativo meteorológico de terceiros ou uma calculadora solicitar acesso à câmera do dispositivo, é improvável que você clique no botão OK imediatamente. Se, por outro lado, o Facebook pedir a mesma permissão, você pensaria que isso é perfeitamente normal, porque é assim que você cria postagens e histórias em movimento. Por causa do StrandHogg, no entanto, o aplicativo com o qual você está interagindo pode não ser o Facebook.

Usando o StrandHogg, um aplicativo mal-intencionado pode obter praticamente qualquer permissão necessária, e é por isso que a vulnerabilidade pode ser usada em uma ampla variedade de cenários de ataque. Como se isso não bastasse, é muito difícil detectar uma exploração bem-sucedida. Os especialistas da Promon observaram que você pode detectar o aplicativo mal-intencionado na tela Aplicativos recentes, mas disseram que os invasores têm uma maneira de ocultá-lo de você. A notícia realmente ruim é que os cibercriminosos já sabem como tirar proveito da vulnerabilidade e estão fazendo isso enquanto falamos.

StrandHogg já é explorado na natureza

Os pesquisadores da Promon disseram que viram "evidências tangíveis" de hackers usando a vulnerabilidade StrandHogg. De fato, toda a investigação começou depois que vários bancos na República Tcheca soaram alarmes sobre os clientes terem suas contas esgotadas. Lookout, um dos parceiros da Promon, identificou um total de 36 aplicativos maliciosos que foram vistos explorando o StrandHogg em estado selvagem. Um deles era uma variante do BankBot que remonta a 2017 e, embora nenhum dos aplicativos residisse no Google Play, alguns deles foram baixados por meio de conta-gotas que estavam disponíveis na loja oficial do Android. O Google removeu os aplicativos imediatamente após ser notificado, mas não conseguiu dizer o que está fazendo para corrigir o que é sem dúvida um problema sério.

Embora os pesquisadores da Promon tenham compartilhado suas descobertas com o Google no verão, o StrandHogg afeta até os mais recentes dispositivos principais que executam a versão mais recente do Android. Isso significa que a correção da vulnerabilidade está se mostrando muito difícil ou o Google não tem muita pressa de fazê-lo. Como o gigante dos mecanismos de pesquisa não emitiu um comentário oficial, não podemos ter certeza de onde está o problema. O relatório de Promon nos diz, no entanto, que quando aspectos da vulnerabilidade foram descritos por pesquisadores da Penn State University em 2015, o Google descartou a severidade do StrandHogg. Felizmente, com ou sem um anúncio oficial, um patch será lançado em breve.

December 5, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.