Tack vare StrandHogg kan skadlig programvara skapa falska inloggningsskärmar för att stjäla dina lösenord
På måndag avslöjade forskare från ett norskt mobilt säkerhetsföretag som heter Promon offentligt en allvarlig sårbarhet i Android-operativsystemet. Det är ganska lämpligt uppkallad efter StrandHogg - Vikingens taktik för att raida kustlinjer och fånga inhemska människor med avsikt att handla dem som slavar. Sårbarheten påverkar alla versioner av Googles mobila operativsystem, inklusive den senaste Android 10, och enligt Promon kan hackare angripa användare av de 500 mest populära applikationerna i Google Play-butiken. Om de utnyttjas ger StrandHogg angriparna möjlighet att göra nästan allt från granskning av samtalsloggar via inloggningsuppgifter för phishing till spionering på personer med enhetens kamera och mikrofon. Innan vi ser hur StrandHogg fungerar måste vi emellertid först lära oss hur en typisk attack på Android utvecklas.
Table of Contents
Hur hackare brukar attackera Android-användare
Det är ett välkänt faktum att en Android-enhet har en ganska betydande attackyta. Våra smartphones är mer eller mindre limmade på våra händer, och vi gör i stort sett allt på dem nuförtiden. Hackare kan verkligen använda dem för att stjäla känslig information och spionera på oss, men att göra det är inte så enkelt som att lura oss att installera en skadlig applikation.
Appar har vanligtvis inte tillgång till alla krökningar i operativsystemet. Innan de till exempel kan använda enhetens mikrofon måste de be om uttryckligt tillstånd, och om de ska ha mer rörelsefrihet behöver de administrativa rättigheter. I ett typiskt scenario är användaren den som bestämmer vilka appar som får vilka behörigheter och attacker misslyckas ofta på grund av detta. Att få erforderliga behörigheter utan ägarens specifika samtycke är möjligt om enheten är rotad, men det måste sägas att inte så många vet hur eller kan bry sig om att rota sina smartphones.
Problemet med StrandHogg är att det kan fungera på enheter som inte är rotade, och i vissa exploateringsscenarier kan det få alla behörigheter den behöver utan att användaren misstänker något.
Så fungerar StrandHogg
StrandHogg styrka ligger i det faktum att det låter hackare utge sig för legitima applikationer. Det framgångsrika utnyttjandet av StrandHogg kräver installation av en skadlig applikation antingen av användaren eller av en dropper-app. Enligt Promon kan skadlig programvara levereras med någon form av legitim funktionalitet. Huvudsyftet är emellertid att använda en svaghet i Android: s multitasking-system, som låter den utföra ett smart trick som kan lura även den mer observanta användaren.
På grund av den svagheten kan skadlig programvara visa en inloggningsformulär nästa gång användaren startar en applikation som till exempel Facebook. Efter att den skickat de samlade inloggningsuppgifterna till hackarna kör den falska appen Facebook, vilket minskar chansen för offret att räkna ut att något inte är riktigt korrekt.
Med hjälp av StrandHogg kan en skadlig applikation också utgöra en legitim applikation och begära behörigheter som kan vara svåra att få i en vanligare attack. Om till exempel en tredjeparts väderapp eller en kalkylator begär åtkomst till enhetens kamera är det osannolikt att du klickar på OK-knappen direkt. Om Facebook å andra sidan ber om samma tillåtelse skulle du tro att detta är helt normalt eftersom det är så du skapar inlägg och berättelser när du är på språng. På grund av StrandHogg kan det hända att appen du interagerar med inte är Facebook alls.
Med StrandHogg kan en skadlig applikation få i stort sett alla behörigheter den behöver, varför sårbarheten kan användas i ett så stort antal attackscenarier. Som om det inte räckte är en framgångsrik exploatering mycket svår att upptäcka. Promons experter noterade att du kanske kunde se den skadliga appen på skärmen Recent Apps, men de sa att angriparna har ett sätt att dölja den från dig. De riktigt dåliga nyheterna är att cyberbrottslingar redan vet hur de kan dra nytta av sårbarheten, och de gör det när vi talar.
StrandHogg utnyttjas redan i naturen
Promons forskare sa att de har sett "konkreta bevis" på hackare som använder StrandHogg-sårbarheten. Faktum är att hela utredningen inleddes efter att flera banker i Tjeckien lade larm om att kunderna skulle tömma sina konton. Lookout, en av Promons partners, identifierade totalt 36 skadliga applikationer som har setts utnyttja StrandHogg i naturen. En av dem var en BankBot-variant som gick tillbaka till 2017, och även om ingen av apparna var bosatt på Google Play, hämtades några av dem via droppare som fanns tillgängliga i Android: s officiella butik. Google tog bort apparna omedelbart efter det att de blev underrättade, men det lyckades då inte säga vad det gör för att fixa det som utan tvekan är ett allvarligt problem.
Trots att Promons forskare delade sina resultat med Google redan på sommaren påverkar StrandHogg även de senaste flaggskeppsenheterna som kör Android: s senaste version. Det innebär att antingen att det är för svårt att fixa sårbarheten eller att Google inte har för mycket bråttom att göra det. Eftersom sökmotorn jätten inte har publicerat någon officiell kommentar, kan vi inte vara säker på var problemet är. Promons rapport berättar emellertid att när aspekter av sårbarheten beskrevs av Penn State University-forskare 2015, avfärdade Google StrandHogs allvarlighetsgrad. Förhoppningsvis, med eller utan ett officiellt tillkännagivande, kommer en lapp snart.
