Il bug di StrandHogg 2.0 consente al malware di fingersi un'app reale e rubare dati degli utenti

I ricercatori della società di sicurezza norvegese Promon hanno scoperto una nuova vulnerabilità di elevazione dei privilegi in Android che consente agli hacker di accedere a quasi tutte le app.

Questo bug di Android, soprannominato “StrandHogg 2.0” (CVE-2020-0096), attacca un dispositivo mostrando un’interfaccia falsa, che inganna gli utenti a fornire informazioni sensibili che includono messaggi SMS privati e foto, rubando le credenziali di accesso delle vittime, tracciando i movimenti GPS, effettuando e/o registrando conversazioni telefoniche e spiando attraverso la fotocamera e il microfono di un telefono.

A differenza della famigerata vulnerabilità StrandHogg che consentiva alle app dannose di dirottare la funzione di multitasking di Android e “assumere liberamente qualsiasi identità nel sistema di multitasking desiderassero”, il nuovo difetto di StrandHogg 2.0 è una vulnerabilità di elevazione dei privilegi che consente al malware di accedere a quasi tutte le app Android.

“Se la vittima inserisce quindi le proprie credenziali di accesso all’interno di questa interfaccia, quei dettagli sensibili vengono immediatamente inviati all’attaccante, che può quindi accedere e controllare app sensibili alla sicurezza,” afferma Promon.

Tuttavia, a differenza di StrandHogg che può attaccare solo un’app alla volta, StrandHogg 2.0, essendo il gemello più astuto, ha imparato come, con le risorse personalizzate per app corrette, “attaccare dinamicamente quasi qualsiasi app su un dato dispositivo simultaneamente con la pressione di un pulsante”.

Ciò che rende la situazione ancora peggiore è che StrandHogg 2.0 è “quasi indetectabile”, rendendo più difficile per gli scanner antivirus e di sicurezza rilevarlo e, di conseguenza, rappresenta un pericolo significativo per l’utente finale.

Promon prevede che gli attaccanti cercheranno di utilizzare sia StrandHogg che StrandHogg 2.0 insieme perché entrambe le vulnerabilità sono unicamente posizionate per attaccare i dispositivi in modi diversi, e farlo garantirebbe che l’area target sia il più ampia possibile.

Allo stesso modo, molte delle mitigazioni che possono essere eseguite contro StrandHogg non si applicano a StrandHogg 2.0 e viceversa.

Gli exploit di StrandHogg 2.0 non impattano i dispositivi che eseguono Android 10. Tuttavia, con una proporzione significativa di utenti Android che risulta ancora in esecuzione su versioni più vecchie (Android 9.0 e precedenti), lascia una grande percentuale (91,8% degli utenti Android attivi) della popolazione globale a rischio.

I ricercatori di Promon hanno pubblicato un video dimostrativo di StrandHogg 2.0 che mostra come funzionerebbe l’exploit:

Promon ha notificato a Google la vulnerabilità il 4 dicembre 2019, consentendo a Google di elaborare una patch per il bug. Il gigante della ricerca ha emesso una patch ai partner dell’ecosistema Android durante aprile 2020 e per i dispositivi che operano su Android 8.0, 8.1 e 9.0.

Poiché molti OEM non rilasciano sempre questi aggiornamenti per mantenere i loro dispositivi aggiornati, ciò mette a rischio milioni di dispositivi.

“Vediamo StrandHogg 2.0 come il gemello ancora più malvagio di StrandHogg. Sono simili nel senso che gli hacker possono sfruttare entrambe le vulnerabilità per accedere a informazioni e servizi molto personali, ma dalla nostra ampia ricerca, possiamo vedere che StrandHogg 2.0 consente agli hacker di attaccare in modo molto più ampio mentre è molto più difficile da rilevare,” ha affermato Tom Lysemose Hansen, CTO e fondatore di Promon.

“Gli attaccanti che cercano di sfruttare StrandHogg 2.0 saranno probabilmente già a conoscenza della vulnerabilità originale di StrandHogg e la preoccupazione è che, quando utilizzate insieme, diventa uno strumento di attacco potente per attori malevoli.

“Gli utenti Android dovrebbero aggiornare i propri dispositivi all’ultimo firmware il prima possibile per proteggersi contro attacchi che utilizzano StrandHogg 2.0. Allo stesso modo, gli sviluppatori di app devono garantire che tutte le app siano distribuite con le appropriate misure di sicurezza in atto per mitigare i rischi di attacchi nel mondo reale.”

Un portavoce di Google ha menzionato che l’azienda non ha trovato alcuna prova che il malware fosse attivamente sfruttato nel mondo fino ad oggi.

“Apprezziamo il lavoro dei ricercatori e abbiamo rilasciato una correzione per il problema che hanno identificato,” ha detto il portavoce di Google.

Inoltre, Google Play Protect, un servizio di screening delle app integrato nei dispositivi Android, bloccherà le app che cercano di sfruttare la vulnerabilità di StrandHogg 2.0.

Promon consiglia agli utenti di aggiornare i propri dispositivi Android con gli aggiornamenti di sicurezza recentemente rilasciati il prima possibile per risolvere la vulnerabilità.