Глобальная уязвимость Android может привести к краже данных кошелька и банковских операций

Недавно обнаруженная уязвимость, называемаяСтрэндХогг, может позволить хакерам получить доступ к личным данным практически на любом телефоне Android и уже использовался для доступа к банковской информации. Задокументировано фирмой по безопасностиПромон, эксплойт затрагивает все версии Android.

Эксплойт StrandHogg T является чем-то новым — исследователи безопасности уже знали о доказательство концепцииверсия с 2015 года. Рабочая и потенциально опасная версия эксплойта только недавно появилась в свободном доступе, скрытая внутри вредоносного ПО, которое распространялось по Интернету в течение последнего года. Promon создалинформационная страницадля использования после того, как выяснилось, насколько широко распространенным и опасным он может быть.

Эксплойт прерывает FLOW приложения от запуска до экрана приветствия и заставляет пользователя предоставить вредоносному ПО мощные разрешения, прежде чем разрешить запуск легитимного приложения.

«Наши исследователи сосредоточились на описании уязвимости как таковой, но мы также сотрудничали с Lookout Security, которые внесли свой вклад, просканировав свои наборы данных вредоносного ПО. Они обнаружили 36 вредоносных приложений, которые эксплуатируют эту уязвимость», — сказал Ларс Лунде Биркеланд, директор по маркетингу и коммуникациям Promon.

«Мы протестировали 500 самых популярных приложений, и все они уязвимы», — сказал он.

По словам Промона, уязвимы все версии Android, включая Android 10, и даже исправленные версии, казалось бы, безопасных телефонов предположительно уязвимы.

Прячется на виду

Эксплойт работает путем перехвата легитимного приложения, когда оно запускается практически на любом телефоне Android. Вместо перехода на экран приветствия или страницу входа, эксплойт позволяет вредоносной программе отображать так называемые всплывающие окна разрешений, которые спрашивают, может ли приложение получить доступ к вашим контактам, местоположению и сохраненным данным. Когда вы одобряете Request, вредоносная программа получает все разрешения вместо легитимного приложения, которое продолжает работать, как будто ничего не произошло.

«Жертва нажимает на легальное приложение, но вместо того, чтобы перейти к легальному приложению, вредоносная программа обманывает устройство, показывая всплывающее окно с запросом разрешений. Жертва предоставляет вредоносной программе и злоумышленнику разрешения, а затем перенаправляется к легальному приложению», — сказал Биркеланд.

Исследователи обнаружили, что троянская программа под названиемБанкБотЗловред использовал эксплойт, чтобы получить мощные разрешения, которые позволяли перехватывать SMS-сообщения, регистрировать нажатия клавиш, переадресовывать вызовы и даже блокировать телефон до тех пор, пока вы не заплатите выкуп, что вызывает беспокойство у всех, кто запускает на своем телефоне банковские, финансовые приложения или приложения-кошельки.

«Это хорошо известный банковский троян, который встречается во всех странах мира», — сказал Биркеланд.

Эксплойт также может отображать поддельную страницу входа в некоторые приложения на некоторых телефонах Android, но эксплойт с правами доступа встречается гораздо чаще.

Серьёзный бизнес

«Уязвимость довольно серьезная. Вы, как злоумышленник, можете проводить довольно мощные атаки», — сказал Биркеланд.

По словам исследователей, компания Promon обнаружила вредоносное ПО, когда «несколько банков в Чешской Республике сообщили об исчезновении денег со счетов клиентов».

«Отсюда, благодаря своему исследованию, Promon смог определить, что вредоносное ПО использовалось для эксплуатации опасной уязвимости Android. Lookout, партнер Promon, также подтвердил, что они выявили 36 вредоносных приложений, эксплуатирующих эту уязвимость. Среди них были варианты банковского трояна BankBot, обнаруженные еще в 2017 году», — написали они.

«Хотя Google удалила затронутые приложения, насколько нам известно, уязвимость еще не устранена ни для одной версии Android (включая Android 10)», — пишут исследователи.

Почему он называется Strandhogg? Это связано со шведскими корнями компании.

«Промон назвал уязвимость «StrandHogg», что на древнескандинавском означает тактику викингов, совершавших набеги на прибрежные районы с целью грабежа и удержания людей с целью получения выкупа», — пишут исследователи.

В своем заявлении представитель Google сказал: «Мы ценим работу исследователей и заблокировали потенциально опасные приложения, которые они выявили. Google Play Protect обнаруживает и блокирует вредоносные приложения, в том числе использующие эту технику. Кроме того, мы продолжаем расследование, чтобы улучшить способность Google Play Protect защищать пользователей от подобных проблем».