Maaaring Grab ng Global Android Vulnerability ang Wallet at Banking Data

Isang bagong natuklasang kahinaan, tinatawag StrandHogg, ay maaaring payagan ang mga hacker na ma-access ang pribadong data sa halos anumang Android phone at nagamit na upang ma-access ang impormasyon sa pagbabangko. Dokumento ng security firm Promon, ang pagsasamantala ay nakakaapekto sa lahat ng mga bersyon ng Android.

Ang pagsasamantala ng StrandHogg ay T partikular na bago – alam ng mga mananaliksik sa seguridad ang tungkol sa a patunay-ng-konsepto bersyon mula noong 2015. Ang isang gumagana, at potensyal na mapanganib, na bersyon ng pagsasamantala ay lumitaw kamakailan lamang sa ligaw na nakatago sa loob ng malware na kumakalat sa internet sa nakalipas na taon. Gumawa si Promon ng isang pahina ng impormasyon para sa pagsasamantala pagkatapos matuklasan kung gaano kalawak at mapanganib ito.

Ang pagsasamantala ay nakakaabala sa FLOW ng isang app mula sa paglulunsad hanggang sa welcome screen at pinipilit ang isang user na magbigay ng isang piraso ng malware ng makapangyarihang mga pahintulot bago hayaang tumakbo ang lehitimong app.

"Nakatuon ang aming mga mananaliksik sa paglalarawan ng kahinaan, tulad nito, ngunit nakipagtulungan din kami sa Lookout Security na nag-ambag ng ilang bahagi sa pamamagitan ng pag-scan sa kanilang mga dataset ng malware. Nakakita sila ng 36 na nakakahamak na app na nagsasamantala sa kapintasan," sabi ni Lars Lunde Birkeland, Marketing & Communication Director ng Promon.

"Sinubukan namin ang nangungunang 500 pinakasikat na apps at lahat ng mga ito ay mahina," sabi niya.

Ang lahat ng mga bersyon ng Android, kabilang ang Android 10, ay apektado at kahit na na-patch, ang mga mukhang secure na telepono ay di-umano'y mahina ayon sa Promon.

Nagtatago sa simpleng paningin

Gumagana ang pagsasamantala sa pamamagitan ng pag-highjack ng isang lehitimong app habang inilulunsad ito sa halos anumang Android phone. Sa halip na pumunta sa welcome screen o login page, ang pagsasamantala ay nagbibigay-daan sa isang piraso ng malware na magpakita ng tinatawag na mga pop-up ng pahintulot, ang uri na nagtatanong kung maa-access ng app ang iyong mga contact, lokasyon, at nakaimbak na data. Kapag inaprubahan mo ang Request, ibibigay sa malware ang lahat ng pahintulot sa halip na ang lehitimong app, na patuloy na tumatakbo na parang walang nangyari.

"Nag-click ang biktima sa legit na app ngunit sa halip na idirekta sa legit na app, nililinlang ng malware ang device upang magpakita ng pop-up na pahintulot. Ibinibigay ng biktima ang malware at ang attacker ng mga pahintulot at pagkatapos ay ire-redirect ka sa legit na app," sabi ni Birkeland.

Nalaman ng mga mananaliksik na isang Trojan program ang tumawag BankBot ginamit ang pagsasamantala upang bigyan ang sarili ng makapangyarihang mga pahintulot na maaaring humarang sa mga mensaheng SMS, mag-log ng mga keypress, magpasa ng mga tawag, at mag-lock pa ng telepono hanggang sa magbayad ka ng ransom, isang alalahanin para sa sinumang nagpapatakbo ng mga banking, pinansiyal, o wallet na apps sa kanilang telepono.

"Ito ay isang kilalang banking Trojan at nakikita sa bawat bansa sa mundo," sabi ni Birkeland.

Ang pagsasamantala ay maaari ding magpakita ng pekeng pahina sa pag-log in para sa ilang app sa ilang mga Android phone ngunit ang mga pahintulot na pagsasamantala ay mas karaniwan.

Seryosong negosyo

"Ang kahinaan ay medyo seryoso. Ikaw, bilang isang umaatake, ay nakakagawa ng napakalakas na pag-atake," sabi ni Birkeland.

Natuklasan ni Promon ang malware nang "ilang mga bangko sa Czech Republic ang nag-ulat na nawawala ang pera mula sa mga account ng customer," isinulat ng mga mananaliksik.

"Mula dito, sa pamamagitan ng pagsasaliksik nito, natukoy ng Promon ang malware na ginagamit upang pagsamantalahan ang isang mapanganib na kahinaan sa Android. Kinumpirma din ni Lookout, isang kasosyo ng Promon, na natukoy nila ang 36 na nakakahamak na apps na nagsasamantala sa kahinaan. Kabilang sa mga ito ang mga variant ng BankBot banking trojan na naobserbahan noong 2017," isinulat nila.

"Habang inalis ng Google ang mga apektadong app, sa abot ng aming kaalaman, ang kahinaan ay hindi pa naaayos para sa anumang bersyon ng Android (kasama ang Android 10)," isinulat ng mga mananaliksik.

Bakit ito tinawag na Strandhogg? Na may kinalaman sa Swedish roots ng kumpanya.

"Ang kahinaan ay pinangalanan ni Promon bilang 'StrandHogg', lumang Norse para sa Viking na taktika ng pagsalakay sa mga lugar sa baybayin upang dambong at hawakan ang mga tao para sa pantubos," isinulat ng mga mananaliksik.

Sa isang pahayag, sinabi ng isang tagapagsalita ng Google: "Pinapahalagahan namin ang trabaho ng mga mananaliksik, at sinuspinde namin ang mga potensyal na nakakapinsalang app na natukoy nila. Nakikita at hinaharangan ng Google Play Protect ang mga nakakahamak na app, kabilang ang mga gumagamit ng diskarteng ito. Bukod pa rito, patuloy kaming nag-iimbestiga para mapahusay ang kakayahan ng Google Play Protect na protektahan ang mga user laban sa mga katulad na isyu."