Bug do StrandHogg 2.0 Permite que Malware Se Passe por um Aplicativo Real e Roube Dados do Usuário

Pesquisadores da empresa de segurança norueguesa Promon descobriram uma nova vulnerabilidade de elevação de privilégio no Android que permite que hackers tenham acesso a quase todos os aplicativos.

Esse bug do Android, chamado de “StrandHogg 2.0” (CVE-2020-0096), ataca um dispositivo mostrando uma interface falsa, que engana os usuários a fornecer informações sensíveis que incluem mensagens SMS privadas e fotos, roubo das credenciais de login das vítimas, rastreamento de movimentos GPS, realização e/ou gravação de conversas telefônicas, e espionagem através da câmera e do microfone do telefone.

Diferente da infame vulnerabilidade StrandHogg que permitia que aplicativos maliciosos sequestrassem o recurso de multitarefa do Android e “assumissem livremente qualquer identidade no sistema de multitarefa que desejassem”, a nova falha do StrandHogg 2.0 é uma vulnerabilidade de elevação de privilégio que permite que malware tenha acesso a quase todos os aplicativos Android.

“Se a vítima então inserir suas credenciais de login dentro dessa interface, esses detalhes sensíveis são imediatamente enviados ao atacante, que pode então fazer login e controlar aplicativos sensíveis à segurança”, diz a Promon.

No entanto, ao contrário do StrandHogg que só pode atacar aplicativos um de cada vez, o StrandHogg 2.0, sendo o gêmeo mais astuto, aprendeu a, com os ativos personalizados corretos por aplicativo, “atacar dinamicamente quase qualquer aplicativo em um determinado dispositivo simultaneamente com o toque de um botão”.

O que torna isso ainda pior é que o StrandHogg 2.0 é “quase indetectável”, tornando mais difícil para antivírus e scanners de segurança detectarem e, como tal, representa um perigo significativo para o usuário final.

A Promon prevê que os atacantes buscarão utilizar tanto o StrandHogg quanto o StrandHogg 2.0 juntos, pois ambas as vulnerabilidades estão posicionadas de forma única para atacar dispositivos de maneiras diferentes, e fazê-lo garantiria que a área alvo fosse o mais ampla possível.

Da mesma forma, muitas das mitig ações que podem ser executadas contra o StrandHogg não se aplicam ao StrandHogg 2.0 e vice-versa.

Explorações do StrandHogg 2.0 não impactam dispositivos que executam Android 10. No entanto, com uma proporção significativa de usuários Android relatando que ainda estão executando versões mais antigas (Android 9.0 e abaixo), isso deixa uma grande porcentagem (91,8% dos usuários ativos do Android) da população global em risco.

Os pesquisadores da Promon publicaram uma demonstração em vídeo do StrandHogg 2.0 mostrando como a exploração funcionaria:

A Promon notificou o Google sobre a vulnerabilidade em 4 de dezembro de 2019, permitindo que o Google elaborasse um patch para o bug. O gigante da busca emitiu um patch para parceiros do ecossistema Android durante abril de 2020 e para dispositivos que operam em Android 8.0, 8.1 e 9.0.

Desde então, muitos OEMs não liberam essas atualizações para manter seus dispositivos atualizados, o que coloca milhões de dispositivos em risco.

“Vemos o StrandHogg 2.0 como o gêmeo ainda mais maligno do StrandHogg. Eles são semelhantes no sentido de que hackers podem explorar ambas as vulnerabilidades para obter acesso a informações e serviços muito pessoais, mas, a partir de nossa extensa pesquisa, podemos ver que o StrandHogg 2.0 permite que hackers ataquem de forma muito mais ampla, enquanto é muito mais difícil de detectar”, disse Tom Lysemose Hansen, CTO e fundador da Promon.

“Os atacantes que buscam explorar o StrandHogg 2.0 provavelmente já estarão cientes da vulnerabilidade original do StrandHogg e a preocupação é que, quando usadas juntas, se tornam uma poderosa ferramenta de ataque para atores maliciosos.

“Usuários Android devem atualizar seus dispositivos para o firmware mais recente o mais rápido possível a fim de se proteger contra ataques que utilizam o StrandHogg 2.0. Da mesma forma, os desenvolvedores de aplicativos devem garantir que todos os aplicativos sejam distribuídos com as medidas de segurança apropriadas em vigor para mitigar os riscos de ataques na natureza.”

Um porta-voz do Google mencionou que a empresa não encontrou nenhuma evidência de que o malware estivesse sendo explorado ativamente na natureza até hoje.

“Agradecemos o trabalho dos pesquisadores e liberamos uma correção para o problema que eles identificaram”, disse o porta-voz do Google.

Além disso, o Google Play Protect, um serviço de triagem de aplicativos embutido em dispositivos Android, bloqueará os aplicativos que tentarem explorar a vulnerabilidade do StrandHogg 2.0.

A Promon aconselha os usuários a atualizar seus dispositivos Android com as atualizações de segurança recentemente lançadas o mais rápido possível para corrigir a vulnerabilidade.