Vulnerabilidade global do Android pode roubar dados bancários e de carteira

Uma vulnerabilidade recentemente descoberta, chamadaPraia Hogg, poderia permitir que hackers acessassem dados privados em quase qualquer telefone Android e já foi usado para acessar informações bancárias. Documentado pela empresa de segurançaPromotor, o exploit afeta todas as versões do Android.

O exploit StrandHogg T é particularmente novo – pesquisadores de segurança sabem sobre um prova de conceitoversão desde 2015. Uma versão funcional e potencialmente perigosa do exploit só apareceu recentemente na natureza, escondida dentro de um malware que se propagou pela internet no ano passado. A Promon criou umpágina informativapelo exploit depois de descobrir o quão difundido e perigoso ele poderia ser.

O exploit interrompe o FLOW de um aplicativo desde o lançamento até a tela de boas-vindas e força o usuário a dar permissões poderosas ao malware antes de deixar o aplicativo legítimo ser executado.

"Nossos pesquisadores se concentraram em descrever a vulnerabilidade, como tal, mas também colaboramos com a Lookout Security, que contribuiu com algumas partes ao escanear seus conjuntos de dados de malware. Eles encontraram 36 aplicativos maliciosos que exploram a falha", disse Lars Lunde Birkeland, Diretor de Marketing e Comunicação da Promon.

"Testamos os 500 aplicativos mais populares e todos eles são vulneráveis", disse ele.

Todas as versões do Android, incluindo o Android 10, são afetadas e, mesmo com patches, telefones aparentemente seguros são supostamente vulneráveis, de acordo com a Promon.

Escondido à vista de todos

O exploit funciona sequestrando um aplicativo legítimo quando ele é iniciado em quase todos os telefones Android. Em vez de ir para a tela de boas-vindas ou página de login, o exploit permite que um pedaço de malware exiba os chamados pop-ups de permissões, do tipo que pergunta se o aplicativo pode acessar seus contatos, localização e dados armazenados. Quando você aprova a Request, o malware recebe todas as permissões em vez do aplicativo legítimo, que continua a ser executado como se nada tivesse acontecido.

"A vítima clica no aplicativo legítimo, mas em vez de ser direcionada para o aplicativo legítimo, o malware engana o dispositivo para mostrar um pop-up de permissão. A vítima dá ao malware e ao invasor as permissões e então você é redirecionado para o aplicativo legítimo", disse Birkeland.

Os pesquisadores descobriram que um programa de Trojan chamadoBancoBotusou o exploit para obter permissões poderosas que podiam interceptar mensagens SMS, registrar pressionamentos de tecla, encaminhar chamadas e até mesmo bloquear um telefone até que você pagasse um resgate, uma preocupação para qualquer pessoa que executasse aplicativos bancários, financeiros ou de carteira em seu telefone.

"É um Trojan bancário muito conhecido e é visto em todos os países do mundo", disse Birkeland.

O exploit também pode mostrar uma página de login falsa para alguns aplicativos em alguns telefones Android, mas o exploit de permissões é muito mais comum.

Negócio sério

"A vulnerabilidade é bem séria. Você, como um invasor, é capaz de realizar ataques bem poderosos", disse Birkeland.

A Promon descobriu o malware quando "vários bancos na República Tcheca relataram que dinheiro estava desaparecendo das contas dos clientes", escreveram os pesquisadores.

"A partir daqui, por meio de sua pesquisa, a Promon conseguiu identificar que o malware estava sendo usado para explorar uma vulnerabilidade perigosa do Android. A Lookout, parceira da Promon, também confirmou que identificou 36 aplicativos maliciosos explorando a vulnerabilidade. Entre eles, havia variantes do trojan bancário BankBot observadas já em 2017", escreveram.

"Embora o Google tenha removido os aplicativos afetados, até onde sabemos, a vulnerabilidade ainda não foi corrigida em nenhuma versão do Android (incluindo Android 10)", escreveram os pesquisadores.

Por que é chamado Strandhogg? Isso tem a ver com as raízes suecas da empresa.

"A vulnerabilidade foi nomeada pela Promon como 'StrandHogg', termo nórdico antigo para a tática viking de invadir áreas costeiras para saquear e manter pessoas em troca de resgate", escreveram os pesquisadores.

Em uma declaração, um porta-voz do Google disse: “Agradecemos o trabalho dos pesquisadores e suspendemos os aplicativos potencialmente prejudiciais que eles identificaram. O Google Play Protect detecta e bloqueia aplicativos maliciosos, incluindo aqueles que usam essa técnica. Além disso, continuamos investigando para melhorar a capacidade do Google Play Protect de proteger os usuários contra problemas semelhantes."