Глобальна вразливість Android може захопити гаманець і банківські дані

Щойно виявлена ​​вразливість називається StrandHogg, може надати хакерам доступ до особистих даних майже на будь-якому телефоні Android і вже використовувався для доступу до банківської інформації. Завірено охоронною фірмою Промон, експлойт впливає на всі версії Android.

Експлойт StrandHogg T є чимось новим – дослідники безпеки знали про a доказ концепції версія з 2015 року. Працююча та потенційно небезпечна версія експлойту лише нещодавно з’явилася в дикій природі, прихована всередині шкідливого програмного забезпечення, яке поширювалося в Інтернеті протягом останнього року. Promon створив інформаційна сторінка за експлойт після виявлення того, наскільки він може бути поширеним і небезпечним.

Експлойт перериває FLOW програми від запуску до екрана привітання та змушує користувача надати зловмисному програмному забезпеченню потужні дозволи, перш ніж дозволити запустити законну програму.

«Наші дослідники зосередилися на описі вразливості як такої, але ми також співпрацювали з Lookout Security, яка надала певну частину, просканувавши свої набори даних зловмисного програмного забезпечення. Вони знайшли 36 шкідливих програм, які використовують недолік», — сказав Ларс Лунде Біркеланд, директор з маркетингу та комунікацій Promon.

«Ми протестували 500 найпопулярніших програм, і всі вони вразливі», — сказав він.

Усі версії Android, включно з Android 10, зазнають уразливості та навіть виправлені, здавалося б безпечні телефони нібито вразливі, згідно з Promon.

Ховається на виду

Експлойт працює, захоплюючи законну програму, яка запущена майже на будь-якому телефоні Android. Замість того, щоб переходити на екран привітання чи сторінку входу, експлойт дозволяє зловмисному програмному забезпеченню відображати так звані спливаючі вікна дозволів, які запитують, чи може програма отримати доступ до ваших контактів, місцезнаходження та збережених даних. Коли ви схвалюєте Request, зловмисне програмне забезпечення отримує всі дозволи замість законної програми, яка продовжує працювати, наче нічого не сталося.

«Жертва натискає легальну програму, але замість того, щоб перейти до легальної програми, зловмисне програмне забезпечення обманом обманює пристрій, щоб показати спливаюче вікно з дозволом. Жертва надає зловмисному програмному забезпеченню та зловмисникові дозволи, а потім ви перенаправляєтеся до легальної програми», — сказав Біркеланд.

Дослідники виявили, що викликана троянська програма BankBot використовував експлойт, щоб надати собі потужні дозволи, які могли перехоплювати SMS-повідомлення, реєструвати натискання клавіш, переадресовувати дзвінки та навіть блокувати телефон, доки ви не заплатите викуп, що викликає занепокоєння у всіх, хто запускає банківські, фінансові програми чи програми гаманця на своєму телефоні.

«Це добре відомий банківський троян, і його можна побачити в кожній країні світу», — сказав Біркеланд.

Експлойт також може показувати фальшиву сторінку входу для деяких програм на деяких телефонах Android, але експлойт дозволів набагато поширеніший.

Серйозний бізнес

«Уразливість досить серйозна. Ви, як зловмисник, здатні здійснювати досить потужні атаки», — сказав Біркеланд.

Promon виявив зловмисне програмне забезпечення, коли «кілька банків у Чеській Республіці повідомили про зникнення грошей з рахунків клієнтів», — пишуть дослідники.

«Звідси, завдяки своєму дослідженню, Promon зміг визначити, що зловмисне програмне забезпечення використовувалося для використання небезпечної вразливості Android. Lookout, партнер Promon, також підтвердив, що вони виявили 36 шкідливих програм, які використовують уразливість. Серед них були варіанти банківського трояна BankBot, помічені ще в 2017 році», — написали вони.

«Хоча Google видалив уражені програми, наскільки нам відомо, уразливість ще не усунуто для жодної версії Android (включно з Android 10)», — пишуть дослідники.

Чому він називається Strandhogg? Це пов’язано зі шведським корінням компанії.

«Промон назвав цю вразливість «StrandHogg», староскандинавською тактикою вікінгів, яка здійснювала набіги на прибережні райони з метою пограбування та утримання людей за викуп», — пишуть дослідники.

У заяві представник Google сказав: "Ми цінуємо роботу дослідників і призупинили роботу потенційно шкідливих програм, які вони виявили. Google Play Protect виявляє та блокує шкідливі програми, включно з тими, що використовують цю техніку. Крім того, ми продовжуємо дослідження, щоб покращити здатність Google Play Protect захищати користувачів від подібних проблем".