Благодаря StrandHogg вредоносные программы могут создавать поддельные экраны для входа, чтобы украсть ваши пароли
В понедельник исследователи из норвежской компании по безопасности мобильных устройств Promon публично сообщили о серьезной уязвимости в операционной системе Android. Он довольно удачно назван в честь StrandHogg - тактики викингов: совершать набеги на прибрежные линии и захватывать коренное население с намерением продать их в рабство. Уязвимость затрагивает все версии мобильной операционной системы Google, включая последнюю версию Android 10, и, по словам Promon, с ее помощью хакеры могут атаковать пользователей 500 самых популярных приложений в магазине Google Play. В случае использования StrandHogg дает злоумышленникам возможность делать практически все: от просмотра журналов вызовов до фишинговых учетных данных и до слежки за людьми с камерой и микрофоном устройства. Прежде чем мы увидим, как работает StrandHogg, нам сначала нужно узнать, как разворачивается типичная атака на Android.
Table of Contents
Как хакеры обычно атакуют пользователей Android
Общеизвестно, что устройство Android представляет собой довольно значительную поверхность атаки. Наши смартфоны более или менее приклеены к нашим рукам, и в настоящее время мы делаем практически все на них. Хакеры действительно могут использовать их для кражи конфиденциальной информации и шпионажа за нами, но сделать это не так просто, как заставить нас установить вредоносное приложение.
Приложения обычно не имеют доступа к каждому закоулку операционной системы. Например, прежде чем они смогут использовать микрофон устройства, им нужно получить четкое разрешение, а если они хотят иметь больше свободы передвижения, им нужны административные права. В типичном сценарии пользователь сам решает, какие приложения получают какие разрешения, и атаки часто терпят неудачу из-за этого. Получение необходимых разрешений без особого согласия владельца возможно, если устройство рутировано, но следует сказать, что не так много людей знают, как или могут быть обеспокоены рутированием своих смартфонов.
Проблема с StrandHogg заключается в том, что он может работать на устройствах, которые не являются рутированными, и в определенных сценариях эксплуатации он может получать все необходимые ему разрешения, не подозревая пользователя об этом.
Как работает StrandHogg
Сила StrandHogg заключается в том, что он позволяет хакерам выдавать себя за легитимные приложения. Успешная эксплуатация StrandHogg требует установки вредоносного приложения пользователем или приложением-дроппером. По словам Промона, вредоносное ПО может иметь некие законные функции. Однако его главная цель - использовать слабость в многозадачной системе Android, которая позволяет ему выполнять хитрый трюк, который может обмануть даже более внимательного пользователя.
Из-за этого недостатка вредоносная программа может отображать фишинговую форму входа в систему, когда пользователь в следующий раз запускает приложение, например Facebook. После того, как он отправляет собранные учетные данные для входа в систему хакерам, фальшивое приложение запускает Facebook, что снижает вероятность того, что жертва обнаружит, что что-то не так.
Используя StrandHogg, вредоносное приложение также может выдавать себя за легитимное и запрашивать разрешения, которые могут быть трудно получить при более обычной атаке. Например, если стороннее погодное приложение или калькулятор запрашивает доступ к камере устройства, вы вряд ли сразу нажмете кнопку ОК. Если, с другой стороны, Facebook запрашивает такое же разрешение, вы можете подумать, что это совершенно нормально, потому что именно так вы создаете посты и истории на ходу. Однако из-за StrandHogg приложение, с которым вы взаимодействуете, может вообще не быть Facebook.
Используя StrandHogg, вредоносное приложение может получить практически любое разрешение, в котором оно нуждается, поэтому уязвимость может использоваться в таком широком диапазоне сценариев атак. Как будто этого было недостаточно, успешный эксплойт очень трудно обнаружить. Эксперты Promon отметили, что вы можете обнаружить вредоносное приложение на экране «Последние приложения», но сказали, что злоумышленники могут скрыть его от вас. Действительно плохие новости в том, что киберпреступники уже знают, как воспользоваться этой уязвимостью, и они делают это, как мы говорим.
StrandHogg уже эксплуатируется в дикой природе
Исследователи Promon заявили, что они видели «реальное доказательство» хакеров, использующих уязвимость StrandHogg. Фактически, все расследование началось после того, как несколько банков в Чешской Республике забили тревогу о том, что клиенты истощают свои счета. Lookout, один из партнеров Promon, выявил в общей сложности 36 вредоносных приложений, которые используют StrandHogg в дикой природе. Одним из них был вариант BankBot, датированный 2017 годом, и хотя ни одно из приложений не размещалось в Google Play, некоторые из них были загружены с помощью дропперов, которые были доступны в официальном магазине Android. Google удалил приложения сразу же после получения уведомления, но затем не смог сказать, что он делает, чтобы исправить то, что, несомненно, является серьезной проблемой.
Хотя исследователи Promon поделились своими результатами с Google еще летом, StrandHogg затрагивает даже самые новые флагманские устройства, работающие на последней версии Android. Это означает, что либо исправление уязвимости оказывается слишком сложным, либо Google не слишком спешит это делать. Поскольку поисковый гигант не выпустил официальный комментарий, мы не можем быть уверены, в чем проблема. Однако в отчете Promon говорится, что, когда исследователи из Университета штата Пенсильвания в 2015 году описали аспекты уязвимости, Google отклонил серьезность StrandHogg. Надеемся, с официальным объявлением или без него, патч скоро выйдет.
