Уязвимость StrandHogg 2.0 позволяет вредоносным приложениям выдавать себя за настоящие и красть данные пользователей

Исследователи норвежской компании Promon обнаружили новую уязвимость повышения привилегий в Android, которая позволяет хакерам получить доступ ко всем приложениям.

Эта ошибка Android, названная “StrandHogg 2.0” (CVE-2020-0096), атакует устройство, показывая поддельный интерфейс, который обманывает пользователей, заставляя их раскрывать конфиденциальную информацию, включая личные SMS-сообщения и фотографии, кражу учетных данных жертв, отслеживание GPS-движений, совершение и/или запись телефонных разговоров, а также шпионство через камеру и микрофон телефона.

В отличие от печально известной уязвимости StrandHogg, которая позволяла вредоносным приложениям захватывать функцию многозадачности Android и “свободно принимать любую личность в системе многозадачности, которую они желают”, новая ошибка StrandHogg 2.0 является уязвимостью повышения привилегий, которая позволяет вредоносному ПО получить доступ почти ко всем приложениям Android.

“Если жертва вводит свои учетные данные в этом интерфейсе, эти конфиденциальные данные немедленно отправляются злоумышленнику, который затем может войти в систему и контролировать приложения, чувствительные к безопасности,” - говорит Promon.

Однако, в отличие от StrandHogg, который может атаковать только одно приложение за раз, StrandHogg 2.0, будучи более хитрым двойником, научился, с правильными адаптированными под каждое приложение ресурсами, “динамически атаковать почти любое приложение на данном устройстве одновременно одним нажатием кнопки”.

Что делает ситуацию еще хуже, так это то, что StrandHogg 2.0 “почти не поддается обнаружению”, что затрудняет обнаружение антивирусами и сканерами безопасности и, таким образом, представляет собой значительную опасность для конечного пользователя.

Promon предсказывает, что злоумышленники будут стремиться использовать как StrandHogg, так и StrandHogg 2.0 вместе, поскольку обе уязвимости уникально расположены для атаки устройств разными способами, и это обеспечит как можно более широкую целевую область.

Аналогично, многие меры по смягчению, которые можно выполнить против StrandHogg, не применимы к StrandHogg 2.0 и наоборот.

Эксплуатация StrandHogg 2.0 не затрагивает устройства, работающие на Android 10. Однако значительная доля пользователей Android по-прежнему использует более старые версии (Android 9.0 и ниже), что оставляет большой процент (91,8% активных пользователей Android) глобального населения под угрозой.

Исследователи Promon опубликовали видео-демонстрацию StrandHogg 2.0, показывающую, как будет работать эксплуатация:

Promon уведомила Google об уязвимости 4 декабря 2019 года, что позволило Google разработать патч для ошибки. Поисковый гигант выпустил патч для партнеров экосистемы Android в апреле 2020 года и для устройств, работающих на Android 8.0, 8.1 и 9.0.

Поскольку многие производители оригинального оборудования (OEM) не всегда выпускают эти обновления, чтобы поддерживать свои устройства в актуальном состоянии, это ставит под угрозу миллионы устройств.

“Мы рассматриваем StrandHogg 2.0 как еще более злого близнеца StrandHogg. Они похожи в том смысле, что хакеры могут использовать обе уязвимости для получения доступа к очень личной информации и услугам, но из нашего обширного исследования мы можем видеть, что StrandHogg 2.0 позволяет хакерам атаковать гораздо шире, оставаясь при этом гораздо более трудным для обнаружения,” - сказал Том Лисемосе Хансен, технический директор и основатель Promon.

“Злоумышленники, стремящиеся использовать StrandHogg 2.0, вероятно, уже знают об оригинальной уязвимости StrandHogg, и беспокойство заключается в том, что, когда они используются вместе, это становится мощным инструментом атаки для злонамеренных акторов.

“Пользователи Android должны обновить свои устройства до последней версии прошивки как можно скорее, чтобы защитить себя от атак, использующих StrandHogg 2.0. Аналогично, разработчики приложений должны убедиться, что все приложения распространяются с соответствующими мерами безопасности, чтобы смягчить риски атак в дикой природе.”

Представитель Google упомянул, что компания не нашла никаких доказательств того, что вредоносное ПО активно использовалось в дикой природе до сегодняшнего дня.

“Мы ценим работу исследователей и выпустили исправление для проблемы, которую они выявили,” - сказал представитель Google.

Кроме того, Google Play Protect, служба проверки приложений, встроенная в устройства Android, будет блокировать приложения, которые пытаются использовать уязвимость StrandHogg 2.0.

Promon советует пользователям обновить свои устройства Android с недавно выпущенными обновлениями безопасности как можно скорее, чтобы исправить уязвимость.