借助StrandHogg，惡意軟件可以創建偽造的登錄屏幕來竊取密碼

週一，來自挪威移動安全公司Promon的研究人員公開披露了Android操作系統中的嚴重漏洞。它以StrandHogg（StrandHogg）的名字恰當地命名。StrandHogg是突襲沿海線並俘獲土著人民的維京人策略，目的是將其作為奴隸進行交易。該漏洞影響所有版本的Google移動操作系統，包括最新的Android 10，據Promon稱，黑客可以利用該漏洞攻擊Google Play商店中500種最受歡迎的應用程序的用戶。如果被利用，StrandHogg使攻擊者能夠執行幾乎所有操作，從查看呼叫日誌到網絡釣魚登錄憑據，再到利用設備的攝像頭和麥克風監視他人。但是，在我們了解StrandHogg的工作原理之前，我們首先需要學習如何對Android進行典型攻擊。

黑客通常如何攻擊Android用戶

眾所周知，Android設備具有非常重要的攻擊面。我們的智能手機或多或少地粘在我們的手上，如今，我們幾乎可以在它們上進行所有操作。黑客確實可以使用它們來竊取敏感信息並監視我們，但是這樣做並不像誘騙我們安裝惡意應用程序那樣簡單。

應用通常無法訪問操作系統的每個角落。例如，在他們可以使用設備的麥克風之前，他們需要尋求明確的許可，並且如果他們要擁有更大的移動自由度，則需要獲得管理權限。在典型情況下，用戶是決定哪些應用程序獲得哪些權限的人，因此攻擊通常會失敗。如果將設備植根，則可以在沒有所有者明確同意的情況下獲得所需的許可，但是必須說的是，並不是很多人知道如何或可以煩惱植根智能手機。

StrandHogg的問題在於它可以在沒有根目錄的設備上運行，並且在某些利用情形下，它可以獲取所需的所有權限，而用戶無需懷疑。

StrandHogg如何運作

StrandHogg的優勢在於它可以讓黑客模仿合法應用程序。成功利用StrandHogg要求用戶或Dropper應用安裝惡意應用。根據Promon的說法，該惡意軟件可能具有某種合法功能。但是，它的主要目的是利用Android多任務處理系統中的一個弱點，該弱點使其能夠執行巧妙的技巧，甚至可以欺騙更細心的用戶。

由於存在這種弱點，例如，惡意軟件可以在用戶下次啟動類似Facebook的應用程序時顯示網絡釣魚登錄表單。偽造的應用程序將收集到的登錄憑據發送給黑客後，便運行了Facebook，從而減少了受害者弄清某些事情不太對勁的機會。

使用StrandHogg，惡意應用程序還可以冒充合法應用程序，並請求獲得權限，而這些權限可能很難通過更常見的攻擊獲得。例如，如果第三方天氣應用或計算器請求訪問設備的相機，則不太可能立即單擊“確定”按鈕。另一方面，如果Facebook要求相同的許可，您會認為這是完全正常的，因為這是您隨時隨地創建帖子和故事的方式。但是，由於StrandHogg的原因，您與之交互的應用可能根本不是Facebook。

使用StrandHogg，惡意應用程序幾乎可以獲得所需的任何權限，這就是為什麼可以在如此廣泛的攻擊情形下使用此漏洞的原因。似乎還不夠，成功檢測漏洞很難被發現。 Promon的專家確實指出，您可能能夠在“最近使用的應用程序”屏幕中發現該惡意應用程序，但他們表示，攻擊者可以通過某種方式將其隱藏。真正的壞消息是，網絡犯罪分子已經知道如何利用此漏洞，並且他們正在照我們所說的那樣去做。

StrandHogg已經在野外被利用

Promon的研究人員說，他們已經看到使用StrandHogg漏洞的黑客的“有力證據”。實際上，整個調查始於捷克共和國的幾家銀行對客戶的帳戶被用光後發出警報。 Promon的合作夥伴之一Lookout識別出總共發現了36個惡意應用程序，這些應用程序在野外都利用了StrandHogg。其中一個是可追溯至2017年的BankBot變體，儘管這些應用程序均未駐留在Google Play上，但其中一些應用程序是通過可在Android官方商店中使用的吸管下載的。 Google在收到通知後立即刪除了這些應用程序，但隨後卻沒有說出要做什麼來修復無疑是一個嚴重問題的應用程序。

儘管Promon的研究人員早在夏天與Google共享了他們的發現，但StrandHogg甚至影響了運行Android最新版本的最新旗艦設備。這意味著修復該漏洞的難度太大，或者Google並不急於這樣做。由於搜索引擎巨頭尚未發表正式評論，因此我們無法確定問題出在哪裡。 Promon的報告告訴我們，當賓夕法尼亞州立大學的研究人員在2015年描述該漏洞的各個方面時，Google否認了StrandHogg的嚴重性。希望無論有沒有正式宣布，補丁程序都會很快發布。