Le bug StrandHogg 2.0 permet aux logiciels malveillants de se faire passer pour de vraies applications et de voler des données utilisateur

Les chercheurs de la société de sécurité norvégienne Promon ont découvert une nouvelle vulnérabilité d’élévation de privilèges dans Android qui permet aux hackers d’accéder à presque toutes les applications.

Ce bug Android, surnommé « StrandHogg 2.0 » (CVE-2020-0096), attaque un appareil en affichant une interface factice, ce qui trompe les utilisateurs pour qu’ils divulguent des informations sensibles, y compris des messages SMS privés et des photos, le vol des identifiants de connexion des victimes, le suivi des mouvements GPS, l’enregistrement et/ou la réalisation d’appels téléphoniques, et l’espionnage à travers la caméra et le microphone d’un téléphone.

Contrairement à la vulnérabilité infâme de StrandHogg qui permettait aux applications malveillantes de détourner la fonctionnalité de multitâche d’Android et de « prendre librement n’importe quelle identité dans le système de multitâche qu’elles désiraient », le nouveau défaut de StrandHogg 2.0 est une vulnérabilité d’élévation de privilèges qui permet aux logiciels malveillants d’accéder à presque toutes les applications Android.

« Si la victime saisit ensuite ses identifiants de connexion dans cette interface, ces détails sensibles sont immédiatement envoyés à l’attaquant, qui peut alors se connecter à des applications sensibles à la sécurité et les contrôler », déclare Promon.

Cependant, contrairement à StrandHogg qui ne peut attaquer qu’une application à la fois, StrandHogg 2.0, étant le jumeau plus rusé, a appris à, avec les ressources adaptées à chaque application, « attaquer dynamiquement presque n’importe quelle application sur un appareil donné simultanément d’une simple pression sur un bouton ».

Ce qui aggrave encore les choses, c’est que StrandHogg 2.0 est « presque indétectable », rendant plus difficile pour les antivirus et les scanners de sécurité de le détecter et, en tant que tel, représente un danger significatif pour l’utilisateur final.

Promon prédit que les attaquants chercheront à utiliser à la fois StrandHogg et StrandHogg 2.0 ensemble, car les deux vulnérabilités sont positionnées de manière unique pour attaquer les appareils de différentes manières, et ce faisant, elles garantiraient que la zone cible est aussi large que possible.

De même, beaucoup des mesures d’atténuation qui peuvent être exécutées contre StrandHogg ne s’appliquent pas à StrandHogg 2.0 et vice-versa.

Les exploits de StrandHogg 2.0 n’impactent pas les appareils fonctionnant sous Android 10. Cependant, avec une proportion significative d’utilisateurs Android signalés comme utilisant encore des versions plus anciennes (Android 9.0 et inférieures), cela laisse un grand pourcentage (91,8 % des utilisateurs actifs d’Android) de la population mondiale à risque.

Les chercheurs de Promon ont publié une vidéo de démonstration de StrandHogg 2.0 montrant comment l’exploit fonctionnerait :

Promon a informé Google de la vulnérabilité le 4 décembre 2019, permettant à Google de proposer un correctif pour le bug. Le géant de la recherche a émis un correctif aux partenaires de l’écosystème Android en avril 2020 et pour les appareils fonctionnant sous Android 8.0, 8.1 et 9.0.

Depuis, de nombreux fabricants d’équipements d’origine (OEM) ne publient pas toujours ces mises à jour pour maintenir leurs appareils à jour, ce qui met des millions d’appareils en danger.

« Nous voyons StrandHogg 2.0 comme le jumeau encore plus maléfique de StrandHogg. Ils sont similaires en ce sens que les hackers peuvent exploiter les deux vulnérabilités pour accéder à des informations et des services très personnels, mais d’après nos recherches approfondies, nous pouvons voir que StrandHogg 2.0 permet aux hackers d’attaquer de manière beaucoup plus large tout en étant beaucoup plus difficile à détecter », a déclaré Tom Lysemose Hansen, CTO et fondateur de Promon.

« Les attaquants cherchant à exploiter StrandHogg 2.0 seront probablement déjà au courant de la vulnérabilité originale de StrandHogg et la préoccupation est que, lorsqu’ils sont utilisés ensemble, cela devient un outil d’attaque puissant pour les acteurs malveillants.

« Les utilisateurs d’Android devraient mettre à jour leurs appareils avec le dernier firmware dès que possible afin de se protéger contre les attaques utilisant StrandHogg 2.0. De même, les développeurs d’applications doivent s’assurer que toutes les applications sont distribuées avec les mesures de sécurité appropriées en place afin d’atténuer les risques d’attaques dans la nature. »

Un porte-parole de Google a mentionné que la société n’avait trouvé aucune preuve que le logiciel malveillant était activement exploité dans la nature jusqu’à aujourd’hui.

« Nous apprécions le travail des chercheurs et avons publié un correctif pour le problème qu’ils ont identifié », a déclaré le porte-parole de Google.

De plus, Google Play Protect, un service de filtrage d’applications intégré aux appareils Android, bloquera les applications qui tentent d’exploiter la vulnérabilité de StrandHogg 2.0.

Promon conseille aux utilisateurs de mettre à jour leurs appareils Android avec les mises à jour de sécurité récemment publiées dès que possible pour corriger la vulnérabilité.