StrandHogg

Il malware StrandHogg

/in /da
Tempo di lettura: 3 minuti

I ricercatori della sicurezza Promon hanno trovato la prova di una pericolosa vulnerabilità di Android, soprannominata “StrandHogg”, che consente al malware della vita reale di rappresentare app legittime, con gli utenti ignari del fatto che vengono presi di mira.

Qual è l’impatto?

  • Tutte le versioni di Android interessate, incl. Android 10 *
  • Tutte le 500 app più popolari sono a rischio *
  • Il malware nella vita reale sta sfruttando la vulnerabilità
  • Sono state identificate 36 app dannose che sfruttano la vulnerabilità *
  • La vulnerabilità può essere sfruttata senza accesso root

Se sfruttato dagli hacker

  • Possono essere visualizzati dall’utente tramite il microfono
  • Scatta foto attraverso la fotocamera
  • Leggi e invia messaggi SMS
  • Effettua e / o registra conversazioni telefoniche
  • Credenziali di accesso al phish
  • Ottieni l’accesso a tutte le foto e i file privati ​​sul dispositivo
  • Ottieni informazioni sulla posizione e sul GPS
  • Ottieni l’accesso all’elenco dei contatti
  • Accedi ai registri telefonici

* Lookout, un partner di Promon, ha confermato di aver identificato 36 app dannose che sfruttano la vulnerabilità. Tra queste c’erano varianti del trojan bancario BankBot osservate già nel 2017. * Durante i test, i ricercatori Promon hanno scoperto che tutte le 500 app più popolari (classificate dalla società di intelligence app 42 Matters) sono vulnerabili a StrandHogg. * Tutte le versioni di Android interessate, incl. Android 10 * (nota: l’exploit di raccolta delle autorizzazioni è solo da Android 6.0 e versioni successive).

BankBot: uno dei trojan bancari più diffusi in circolazione, con decine di varianti e parenti stretti che spuntano continuamente. Gli attacchi BankBot sono stati rilevati in tutto il mondo, negli Stati Uniti, in America Latina, in Europa e nella regione dell’Asia del Pacifico.

La vulnerabilità consente a un’app dannosa di chiedere autorizzazioni fingendo di essere l’app legittima. Un utente malintenzionato può richiedere l’accesso a qualsiasi autorizzazione, inclusi SMS, foto, microfono e GPS, consentendo loro di leggere messaggi, visualizzare foto, intercettare e tenere traccia dei movimenti della vittima.

L’attacco può essere progettato per richiedere autorizzazioni che sarebbero naturali per le diverse app mirate da richiedere, riducendo a sua volta i sospetti delle vittime. Gli utenti non sono consapevoli del fatto che stanno dando l’autorizzazione all’hacker e non all’app autentica che credono di utilizzare.

Sfruttando questa vulnerabilità, un’app dannosa installata sul dispositivo può attaccare il dispositivo e ingannarla in modo tale che quando si fa clic sull’icona di un’app legittima, viene visualizzata una versione dannosa sullo schermo dell’utente.

Quando la vittima immette le proprie credenziali di accesso all’interno di questa interfaccia, i dettagli sensibili vengono immediatamente inviati all’attaccante, che può quindi accedere e controllare le app sensibili alla sicurezza.

StrandHogg, unico perché consente attacchi sofisticati senza la necessità di eseguire il root di un dispositivo , utilizza una debolezza del sistema multitasking di Android per attuare potenti attacchi che consentono alle app dannose di mascherarsi come qualsiasi altra app sul dispositivo. Questo exploit si basa su un’impostazione di controllo Android denominata “taskAffinity” che consente a qualsiasi app, comprese quelle dannose, di assumere liberamente qualsiasi identità nel sistema multitasking che desidera.

Promon ha condotto ricerche sui malware della vita reale che sfruttano questo grave difetto e ha scoperto che tutte le 500 migliori app più popolari (classificate dalla società di intelligence app 42 Matters) sono a rischio, con tutte le versioni di Android interessate.

La vulnerabilità è stata nominata da Promon come ‘StrandHogg’, il vecchio norvegese per la tattica vichinga di razziare le aree costiere per saccheggiare e trattenere le persone per riscatto.

Lo studio di Promon si espande in modo significativo sulla ricerca condotta dalla Penn State University nel 2015 , in cui i ricercatori hanno teoricamente descritto alcuni aspetti della vulnerabilità. Google, al momento, ha respinto la gravità della vulnerabilità, ma Promon ha prove tangibili che gli hacker stanno sfruttando StrandHogg per ottenere l’accesso a dispositivi e app.

Le app dannose spesso scivolano sotto il radar di Google

L’esempio di malware specifico analizzato da Promon non risiedeva su Google Play ma è stato installato tramite diverse app dropper / downloader ostili distribuiti su Google Play. Queste app sono state rimosse, ma nonostante la suite di sicurezza Play Protect di Google, le app dropper continuano a essere pubblicate e spesso scivolano sotto il radar, alcune delle quali vengono scaricate milioni di volte prima di essere individuate ed eliminate.

Dimostrazione della portata del problema di Google Play con le app dropper, i ricercatori hanno recentemente riferito che l’app dannosa CamScanner, un creatore di PDF che contiene un modulo dannoso, è stata scaricata più di 100 milioni di volte.

 

Potrebbero interessarti
cybersicurezza Cybersicurezza set.35-2019
Nodersok Nodersok utilizza app Web per infettare i PC
bug di lastpass Il bug di LastPass
Estensione dei modelli aziendali zero trust al Web
anti-virus Come proteggere il computer
mappa attacco ddos Migliaia di dispositivi QNAP NAS sono stati infettati dal malware QSnatch
avviso fbi L’FBI avverte di attacchi che aggirano l’autenticazione a più fattori (MFA)
researcherda 267 milioni di utenti di Facebook esposti in un database accessibile