StrandHogg 2.0のバグがマルウェアに本物のアプリとして振る舞わせ、ユーザーデータを盗む

ノルウェーのセキュリティ企業Promonの研究者たちは、ハッカーがほぼすべてのアプリにアクセスできる新しい特権昇格の脆弱性をAndroidで発見しました。

このAndroidのバグは「StrandHogg 2.0」（CVE-2020-0096）と呼ばれ、偽のインターフェースを表示することでデバイスを攻撃し、ユーザーにプライベートなSMSメッセージや写真を含む機密情報を提供させることで、被害者のログイン資格情報を盗み、GPSの動きを追跡し、電話の会話を行ったり録音したりし、電話のカメラやマイクを通じてスパイをします。

悪名高いStrandHoggの脆弱性とは異なり、悪意のあるアプリがAndroidのマルチタスク機能をハイジャックし、「マルチタスクシステム内で望む任意のアイデンティティを自由に引き受ける」ことを可能にしたStrandHoggとは異なり、新しいStrandHogg 2.0の欠陥は特権昇格の脆弱性であり、マルウェアがほぼすべてのAndroidアプリにアクセスできるようにします。

「もし被害者がこのインターフェース内でログイン資格情報を入力すると、その機密情報はすぐに攻撃者に送信され、攻撃者はセキュリティに敏感なアプリにログインし、制御することができます」とPromonは述べています。

しかし、StrandHoggがアプリを一度に1つだけ攻撃できるのに対し、StrandHogg 2.0はより狡猾な双子であり、正しいアプリごとのカスタマイズされた資産を使用して、「ボタンを押すだけで、特定のデバイス上のほぼすべてのアプリを同時に動的に攻撃する」方法を学びました。

さらに悪いことに、StrandHogg 2.0は「ほぼ検出不可能」であり、ウイルス対策やセキュリティスキャナーが検出するのを難しくし、そのためエンドユーザーにとって重大な危険をもたらします。

Promonは、攻撃者がStrandHoggとStrandHogg 2.0の両方を利用しようとするだろうと予測しています。なぜなら、両方の脆弱性は異なる方法でデバイスを攻撃するためにユニークに位置付けられており、そうすることでターゲットエリアをできるだけ広くすることができるからです。

同様に、StrandHoggに対して実行できる多くの緩和策はStrandHogg 2.0には適用されず、その逆もまた然りです。

StrandHogg 2.0の脆弱性はAndroid 10を実行しているデバイスには影響しません。しかし、Androidユーザーのかなりの割合が古いバージョン（Android 9.0およびそれ以下）を実行していると報告されており、世界の人口の大部分（91.8%のAndroidアクティブユーザー）がリスクにさらされています。

Promonの研究者たちは、StrandHogg 2.0の動作を示すビデオデモを公開しました：

Promonは2019年12月4日にGoogleにこの脆弱性を通知し、Googleはバグのパッチを考案することができました。検索大手は2020年4月にAndroidエコシステムパートナーにパッチを発行し、Android 8.0、8.1、および9.0を実行しているデバイス向けに提供しました。

しかし、多くのOEMはこれらの更新を常にリリースしてデバイスを最新の状態に保つわけではないため、何百万ものデバイスがリスクにさらされています。

「私たちはStrandHogg 2.0をStrandHoggのさらに悪質な双子と見ています。ハッカーが非常に個人的な情報やサービスにアクセスするために両方の脆弱性を悪用できるという点で似ていますが、私たちの広範な研究から、StrandHogg 2.0はハッカーがはるかに広範囲に攻撃することを可能にし、検出がはるかに難しいことがわかります」とPromonのCTOで創設者のトム・リセモス・ハンセンは述べました。

「StrandHogg 2.0を悪用しようとする攻撃者は、すでに元のStrandHoggの脆弱性を認識している可能性が高く、両者を組み合わせて使用すると、悪意のある行為者にとって強力な攻撃ツールになるという懸念があります。

「Androidユーザーは、StrandHogg 2.0を利用した攻撃から自分自身を保護するために、できるだけ早くデバイスを最新のファームウェアに更新する必要があります。同様に、アプリ開発者は、すべてのアプリが適切なセキュリティ対策を講じて配布されることを確認し、野外での攻撃のリスクを軽減する必要があります。」

Googleの広報担当者は、同社が今日までにマルウェアが実際に悪用されている証拠を見つけていないと述べました。

「私たちは研究者の作業を評価しており、彼らが特定した問題の修正をリリースしました」とGoogleの広報担当者は述べました。

さらに、Androidデバイスに組み込まれたアプリスクリーニングサービスであるGoogle Play Protectは、StrandHogg 2.0の脆弱性を悪用しようとするアプリをブロックします。

Promonは、ユーザーに最近リリースされたセキュリティ更新でAndroidデバイスをできるだけ早く更新するようにアドバイスしています。