多亏了StrandHogg，恶意软件才能创建伪造的登录屏幕来窃取密码

周一，来自挪威移动安全公司Promon的研究人员公开披露了Android操作系统中的严重漏洞。它以StrandHogg（StrandHogg）的名字恰当地命名。StrandHogg是突袭沿海线并俘获土著人民的维京人策略，目的是将其作为奴隶进行交易。该漏洞影响所有版本的Google移动操作系统，包括最新的Android 10，据Promon称，黑客可以利用该漏洞攻击Google Play商店中500种最受欢迎的应用程序的用户。如果被利用，StrandHogg使攻击者能够执行几乎所有操作，从查看呼叫日志到网络钓鱼登录凭据，再到利用设备的摄像头和麦克风监视他人。但是，在我们了解StrandHogg的工作原理之前，我们首先需要学习如何对Android进行典型攻击。

黑客通常如何攻击Android用户

众所周知，Android设备具有非常重要的攻击面。我们的智能手机或多或少地粘在我们的手上，如今，我们几乎可以在它们上进行所有操作。黑客确实可以使用它们来窃取敏感信息并监视我们，但是这样做并不像诱骗我们安装恶意应用程序那样简单。

应用通常无法访问操作系统的每个角落。例如，在他们可以使用设备的麦克风之前，他们需要寻求明确的许可，并且如果他们要拥有更大的移动自由度，则需要获得管理权限。在典型情况下，用户是决定哪些应用程序获得哪些权限的人，因此攻击通常会失败。如果将设备植根，则可以在没有所有者明确同意的情况下获得所需的许可，但是必须说的是，并不是很多人知道如何或可以烦恼植根智能手机。

StrandHogg的问题在于它可以在没有根目录的设备上运行，并且在某些利用情形下，它可以获取所需的所有权限，而用户无需怀疑。

StrandHogg如何运作

StrandHogg的优势在于它可以让黑客模仿合法应用程序。成功利用StrandHogg要求用户或Dropper应用安装恶意应用。根据Promon的说法，该恶意软件可能具有某种合法功能。但是，它的主要目的是利用Android多任务处理系统中的一个弱点，该弱点使其能够执行巧妙的技巧，甚至可以欺骗更细心的用户。

由于存在这种弱点，例如，恶意软件可以在用户下次启动类似Facebook的应用程序时显示网络钓鱼登录表单。伪造的应用程序将收集到的登录凭据发送给黑客后，便运行了Facebook，从而减少了受害者弄清某些事情不太对劲的机会。

使用StrandHogg，恶意应用程序还可以冒充合法应用程序，并请求获得权限，而这些权限可能很难通过更常见的攻击获得。例如，如果第三方天气应用或计算器请求访问设备的相机，则不太可能立即单击“确定”按钮。另一方面，如果Facebook要求相同的许可，您会认为这是完全正常的，因为这是您随时随地创建帖子和故事的方式。但是，由于StrandHogg的原因，您与之交互的应用可能根本不是Facebook。

使用StrandHogg，恶意应用程序几乎可以获得所需的任何权限，这就是为什么可以在如此广泛的攻击情形下使用此漏洞的原因。似乎还不够，成功检测漏洞很难被发现。 Promon的专家确实指出，您可能能够在“最近使用的应用程序”屏幕中发现该恶意应用程序，但他们表示，攻击者可以通过某种方式将其隐藏。真正的坏消息是，网络犯罪分子已经知道如何利用此漏洞，并且正如我们所说的那样。

StrandHogg已经在野外被利用

Promon的研究人员说，他们已经看到使用StrandHogg漏洞的黑客的“有力证据”。实际上，整个调查始于捷克共和国的几家银行对客户的帐户被用光后发出警报。 Promon的合作伙伴之一Lookout识别出总共发现了36个恶意应用程序，它们在野外都被StrandHogg所利用。其中一个是可追溯至2017年的BankBot变体，尽管这些应用程序均未驻留在Google Play上，但其中一些应用程序是通过可在Android官方商店中使用的吸管下载的。 Google在收到通知后立即删除了这些应用程序，但随后却没有说出要做什么来修复无疑是一个严重问题的应用程序。

尽管Promon的研究人员早在夏天与Google共享了他们的发现，但StrandHogg甚至影响了运行Android最新版本的最新旗舰设备。这意味着修复该漏洞非常困难，或者Google并不急于这样做。由于搜索引擎巨头尚未发表正式评论，因此我们无法确定问题出在哪里。 Promon的报告告诉我们，当宾夕法尼亚州立大学的研究人员在2015年描述该漏洞的各个方面时，Google否认了StrandHogg的严重性。希望无论有没有正式宣布，补丁程序都会很快发布。