Vulnerabilità globale di Android potrebbe rubare dati bancari e di portafoglio

Una vulnerabilità appena scoperta, chiamataSpiaggiaHogg, potrebbe consentire agli hacker di accedere ai dati privati su quasi tutti i telefoni Android ed è già stato utilizzato per accedere alle informazioni bancarie. Documentato da un'azienda di sicurezzaPromozione, l'exploit colpisce tutte le versioni di Android.

L'exploit StrandHogg T è particolarmente nuovo: i ricercatori della sicurezza ne erano a conoscenza prova di concettoversione dal 2015. Una versione funzionante e potenzialmente pericolosa dell'exploit è apparsa solo di recente in natura nascosta all'interno di un malware che si è propagato su Internet per l'ultimo anno. Promon ha creato unpagina informativaper l'impresa dopo aver scoperto quanto potesse essere diffusa e pericolosa.

L'exploit interrompe il FLOW di un'app dall'avvio alla schermata di benvenuto e obbliga l'utente a concedere al malware autorizzazioni avanzate prima di consentire l'esecuzione dell'app legittima.

"I nostri ricercatori si sono concentrati sulla descrizione della vulnerabilità, in quanto tale, ma abbiamo anche collaborato con Lookout Security che ha contribuito con alcune parti scansionando i loro dataset di malware. Hanno trovato 36 app dannose che sfruttano la falla", ha affermato Lars Lunde Birkeland, Marketing & Communication Director di Promon.

"Abbiamo testato le 500 app più popolari e sono tutte vulnerabili", ha affermato.

Tutte le versioni di Android, inclusa Android 10, sono interessate e, secondo Promon, anche i telefoni apparentemente sicuri sarebbero vulnerabili.

Nascosto in bella vista

L'exploit funziona dirottando un'app legittima mentre viene avviata su quasi tutti i telefoni Android. Invece di andare alla schermata di benvenuto o alla pagina di accesso, l'exploit consente a un malware di visualizzare i cosiddetti pop-up di autorizzazione, del tipo che chiede se l'app può accedere ai tuoi contatti, alla tua posizione e ai dati archiviati. Quando approvi la Request, al malware vengono concesse tutte le autorizzazioni al posto dell'app legittima, che continua a funzionare come se nulla fosse accaduto.

"La vittima clicca sull'app legittima ma invece di essere indirizzata all'app legittima il malware inganna il dispositivo per mostrare un pop-up di autorizzazione. La vittima fornisce al malware e all'aggressore le autorizzazioni e poi si viene reindirizzati all'app legittima", ha affermato Birkeland.

I ricercatori hanno scoperto che un programma Trojan chiamatoBancaRobotha utilizzato l'exploit per dotarsi di potenti autorizzazioni in grado di intercettare messaggi SMS, registrare le pressioni dei tasti, inoltrare chiamate e persino bloccare un telefono fino al pagamento di un riscatto, un problema per chiunque utilizzi app bancarie, finanziarie o di portafoglio elettronico sul proprio telefono.

"Si tratta di un noto trojan bancario, presente in tutti i paesi del mondo", ha affermato Birkeland.

L'exploit può anche mostrare una falsa pagina di accesso per alcune app su alcuni telefoni Android, ma l'exploit delle autorizzazioni è molto più comune.

Affari seri

"La vulnerabilità è piuttosto seria. Tu, come aggressore, sei in grado di effettuare attacchi piuttosto potenti", ha affermato Birkeland.

Promon ha scoperto il malware quando "diverse banche nella Repubblica Ceca hanno segnalato la scomparsa di denaro dai conti dei clienti", hanno scritto i ricercatori.

"Da qui, attraverso la sua ricerca, Promon è stata in grado di identificare il malware utilizzato per sfruttare una pericolosa vulnerabilità di Android. Lookout, un partner di Promon, ha anche confermato di aver identificato 36 app dannose che sfruttano la vulnerabilità. Tra queste c'erano varianti del trojan bancario BankBot osservate già nel 2017", hanno scritto.

"Sebbene Google abbia rimosso le app interessate, per quanto ne sappiamo la vulnerabilità non è ancora stata risolta per nessuna versione di Android (inclusa Android 10)", hanno scritto i ricercatori.

Perché si chiama Strandhogg? Ha a che fare con le radici svedesi dell'azienda.

"Promon ha chiamato la vulnerabilità 'StrandHogg', antico termine norreno che indica la tattica vichinga di razziare le zone costiere per depredare e tenere le persone in ostaggio", hanno scritto i ricercatori.

In una dichiarazione, un portavoce di Google ha affermato: "Apprezziamo il lavoro dei ricercatori e abbiamo sospeso le app potenzialmente dannose che hanno identificato. Google Play Protect rileva e blocca le app dannose, comprese quelle che utilizzano questa tecnica. Inoltre, stiamo continuando a indagare per migliorare la capacità di Google Play Protect di proteggere gli utenti da problemi simili".