StrandHogg 2.0 Fehler lässt Malware als echte App auftreten und Benutzerdaten stehlen

Forscher der norwegischen Sicherheitsfirma Promon haben eine neue Erhöhung der Berechtigungen-Schwachstelle in Android entdeckt, die es Hackern ermöglicht, auf fast alle Apps zuzugreifen.

Dieser Android-Fehler, der als „StrandHogg 2.0“ (CVE-2020-0096) bezeichnet wird, greift ein Gerät an, indem er eine gefälschte Benutzeroberfläche anzeigt, die die Benutzer dazu verleitet, sensible Informationen preiszugeben, einschließlich privater SMS-Nachrichten und Fotos, dem Stehlen von Anmeldedaten der Opfer, dem Verfolgen von GPS-Bewegungen, dem Tätigen und/oder Aufzeichnen von Telefonanrufen und dem Ausspionieren durch die Kamera und das Mikrofon eines Telefons.

Im Gegensatz zur berüchtigten StrandHogg-Schwachstelle, die es bösartigen Apps ermöglichte, die Multitasking-Funktion von Android zu übernehmen und „beliebig jede Identität im Multitasking-System anzunehmen, die sie wünschen“, ist der neue StrandHogg 2.0-Fehler eine Erhöhung der Berechtigungen-Schwachstelle, die es Malware ermöglicht, auf fast alle Android-Apps zuzugreifen.

„Wenn das Opfer dann seine Anmeldedaten in dieser Benutzeroberfläche eingibt, werden diese sensiblen Details sofort an den Angreifer gesendet, der sich dann in sicherheitsrelevante Apps einloggen und diese kontrollieren kann“, sagt Promon.

Allerdings kann StrandHogg, im Gegensatz zu StrandHogg, der nur Apps nacheinander angreifen kann, StrandHogg 2.0, das als der gerissenere Zwilling gilt, hat gelernt, wie man mit den richtigen, auf die jeweilige App zugeschnittenen Ressourcen „nahezu jede App auf einem bestimmten Gerät gleichzeitig mit einem Knopfdruck dynamisch angreifen kann“.

Was es noch schlimmer macht, ist, dass StrandHogg 2.0 „nahezu unentdeckbar“ ist, was es für Antiviren- und Sicherheits-Scanner schwieriger macht, es zu erkennen, und somit eine erhebliche Gefahr für den Endbenutzer darstellt.

Promon prognostiziert, dass Angreifer sowohl StrandHogg als auch StrandHogg 2.0 zusammen nutzen werden, da beide Schwachstellen einzigartig positioniert sind, um Geräte auf unterschiedliche Weise anzugreifen, und dies würde sicherstellen, dass der Zielbereich so breit wie möglich ist.

Ähnlich gelten viele der Maßnahmen, die gegen StrandHogg ergriffen werden können, nicht für StrandHogg 2.0 und umgekehrt.

StrandHogg 2.0-Exploits wirken sich nicht auf Geräte aus, die Android 10 ausführen. Allerdings lässt ein erheblicher Anteil der Android-Nutzer, von denen berichtet wird, dass sie immer noch ältere Versionen (Android 9.0 und darunter) verwenden, einen großen Prozentsatz (91,8 % der aktiven Android-Nutzer) der globalen Bevölkerung gefährdet.

Die Promon-Forscher haben eine Video-Demo von StrandHogg 2.0 veröffentlicht, die zeigt, wie der Exploit funktionieren würde:

Promon informierte Google am 4. Dezember 2019 über die Schwachstelle, was es Google ermöglichte, einen Patch für den Fehler zu entwickeln. Der Suchgigant gab im April 2020 einen Patch an die Partner des Android-Ökosystems heraus und für Geräte, die mit Android 8.0, 8.1 und 9.0 betrieben werden.

Da viele OEMs diese Updates jedoch nicht immer veröffentlichen, um ihre Geräte auf dem neuesten Stand zu halten, sind Millionen von Geräten gefährdet.

„Wir sehen StrandHogg 2.0 als den noch böseren Zwilling von StrandHogg. Sie sind insofern ähnlich, als Hacker beide Schwachstellen ausnutzen können, um auf sehr persönliche Informationen und Dienste zuzugreifen, aber aus unserer umfangreichen Forschung können wir sehen, dass StrandHogg 2.0 es Hackern ermöglicht, viel breiter anzugreifen, während es viel schwieriger zu erkennen ist“, sagte Tom Lysemose Hansen, CTO und Gründer von Promon.

„Angreifer, die versuchen, StrandHogg 2.0 auszunutzen, werden wahrscheinlich bereits über die ursprüngliche StrandHogg-Schwachstelle informiert sein, und die Sorge ist, dass es, wenn sie zusammen verwendet werden, ein leistungsstarkes Angriffswerkzeug für böswillige Akteure wird.

„Android-Nutzer sollten ihre Geräte so schnell wie möglich auf die neueste Firmware aktualisieren, um sich vor Angriffen zu schützen, die StrandHogg 2.0 nutzen. Ebenso müssen App-Entwickler sicherstellen, dass alle Apps mit den entsprechenden Sicherheitsmaßnahmen verteilt werden, um die Risiken von Angriffen in der freien Wildbahn zu mindern.“

Ein Sprecher von Google hat erwähnt, dass das Unternehmen bis heute keine Hinweise darauf gefunden hat, dass die Malware aktiv in der Wildnis ausgenutzt wird.

„Wir schätzen die Arbeit der Forscher und haben einen Fix für das von ihnen identifizierte Problem veröffentlicht“, sagte der Google-Sprecher.

Darüber hinaus wird Google Play Protect, ein in Android-Geräte integrierter App-Überprüfungsdienst, die Apps blockieren, die versuchen, die StrandHogg 2.0-Schwachstelle auszunutzen.

Promon rät den Nutzern, ihre Android-Geräte so schnell wie möglich mit den kürzlich veröffentlichten Sicherheitsupdates zu aktualisieren, um die Schwachstelle zu beheben.