Vulnerabilitate în telefoanele Android complet patchate în timpul atacului activ al hoților din bănci

O vulnerabilitate în milioane de telefoane Android complet patchate este exploatată în mod activ de malware, conceput pentru a scurge conturile bancare ale utilizatorilor infectați, au declarat cercetătorii luni.

Vulnerabilitatea permite aplicațiilor dăunătoare să se mascheze ca aplicații legitime pe care țintele le-au instalat deja și devin încredere, au raportat cercetătorii de la firma de securitate Promon într-o postare. Funcționând sub pretextul aplicațiilor de încredere deja instalate, aplicațiile rău intenționate pot solicita apoi permisiuni pentru a îndeplini sarcini sensibile, precum înregistrarea audio sau video, realizarea de fotografii, citirea mesajelor text sau acreditările de conectare la phishing. Țintele care fac clic pe da la cerere sunt apoi compromise.

Cercetătorii cu Lookout, un furnizor de securitate mobilă și un partener Promon, au raportat săptămâna trecută că au găsit 36 ​​de aplicații care exploatează vulnerabilitatea spoofing. Aplicațiile dăunătoare includ variante ale troianului bancar BankBot. BankBot este activ din 2017, iar aplicațiile din familia malware au fost surprinse în mod repetat în infiltrarea Google Play Market.

Vulnerabilitatea este cea mai gravă în versiunile 6 până la 10, care (conform Statista) reprezintă aproximativ 80% din telefoanele Android din întreaga lume. Atacurile împotriva acestor versiuni permit aplicațiilor rău intenționate să solicite permisiuni în timp ce se prezintă ca aplicații legitime. Nu există nicio limită la permisiunile pe care le pot solicita aceste aplicații rău intenționate. Accesul la mesaje text, fotografii, microfon, cameră și GPS sunt câteva dintre permisiunile posibile. Singura apărare a utilizatorului este să facă clic pe „nu” la cereri.

O afinitate pentru multitasking

Vulnerabilitatea se găsește într-o funcție cunoscută sub denumirea de TaskAffinity, o caracteristică multitasking care permite aplicațiilor să își asume identitatea altor aplicații sau sarcini care rulează în mediul multitasking. Aplicațiile dăunătoare pot exploata această funcționalitate prin setarea TaskAffinity pentru una sau mai multe dintre activitățile sale pentru a se potrivi cu numele pachetului unei aplicații terțe de încredere. Prin combinarea activității răsfățate cu o activitate suplimentară allowTaskReparenting sau lansarea activității dăunătoare cu un Intent.FLAG_ACTIVITY_NEW_TASK, aplicațiile dăunătoare vor fi plasate în interiorul și deasupra sarcinii vizate.

„Astfel, activitatea dăunătoare deturnează sarcina țintei”, au scris cercetătorii Promon. "Data viitoare când aplicația țintă este lansată de la Launcher, sarcina deturnată va fi adusă în față, iar activitatea rău intenționată va fi vizibilă. Aplicația rău intenționată trebuie doar să apară ca aplicația țintă pentru a lansa cu succes atacuri sofisticate împotriva utilizatorului. Este posibil să deturnăm o astfel de sarcină înainte ca aplicația țintă să fie chiar instalată. "

Promon a spus că Google a eliminat aplicațiile rău intenționate de pe Play Market, dar, până în prezent, vulnerabilitatea pare să nu fie fixată în toate versiunile de Android. Promon numește vulnerabilitatea „StrandHogg”, un vechi termen norvegian pentru tactica vikingă de a ataca zonele de coastă pentru a jefui și a ține oamenii pentru răscumpărare. Nici Promon, nici Lookout nu au identificat numele aplicațiilor dăunătoare. Această omisiune îngreunează oamenii să știe dacă sunt sau au fost infectați.

Reprezentanții Google nu au răspuns la întrebări cu privire la momentul în care defectul va fi remediat, cât de multe aplicații Google Play au fost surprinse exploatându-l sau câți utilizatori finali au fost afectați. Reprezentanții au scris numai:

„Apreciem cercetătorii[‘] funcționează și au suspendat aplicațiile potențial dăunătoare pe care le-au identificat. Google Play Protect detectează și blochează aplicațiile rău intenționate, inclusiv cele care folosesc această tehnică. În plus, continuăm să investigăm pentru a îmbunătăți capacitatea Google Play Protect de a proteja utilizatorii împotriva unor probleme similare. "

StrandHogg reprezintă cea mai mare amenințare pentru utilizatorii cu mai puțină experiență sau pentru cei care au tulburări cognitive sau de alt tip, care îngreunează să acorde o atenție deosebită comportamentelor subtile ale aplicațiilor. Cu toate acestea, există mai multe lucruri pe care utilizatorii de alertă le pot face pentru a detecta aplicații rău intenționate care încearcă să exploateze vulnerabilitatea. Semnele suspecte includ:

  • O aplicație sau un serviciu la care sunteți deja conectat solicită autentificare.
  • Popup-uri de permis care nu conțin un nume de aplicație.
  • Permisiunile solicitate de la o aplicație care nu ar trebui să necesite sau să aibă nevoie de permisiunile solicitate. De exemplu, o aplicație pentru calculatoare care solicită permisiunea GPS.
  • Tipuri și greșeli în interfața cu utilizatorul.
  • Butoane și linkuri în interfața de utilizator care nu fac nimic atunci când faceți clic pe.
  • Butonul Back nu funcționează așa cum era de așteptat.

Renunțarea la o bancă cehă

Cercetătorii de la Promon au declarat că au identificat StrandHogg după ce au aflat de la o companie de securitate fără nume din Europa de Est pentru instituțiile financiare că mai multe bănci din Republica Cehă au raportat dispariția banilor din conturile clienților. Partenerul i-a oferit lui Promon un eșantion de malware suspectat. În cele din urmă, Promon a descoperit că malware-ul exploata vulnerabilitatea. Partenerul Promon Lookout a identificat ulterior cele 36 de aplicații care exploatează vulnerabilitatea, inclusiv variantele BankBot.

Postarea de luni nu a spus câte instituții financiare au fost vizate în total.

Eșantionul de malware Promon analizat a fost instalat prin mai multe aplicații de descărcare și descărcări distribuite pe Google Play. În timp ce Google le-a eliminat, nu este neobișnuit ca noile aplicații rău intenționate să își facă drum în serviciul operat de Google. Cititorilor li se reamintește din nou că sunt foarte suspecte pentru aplicațiile Android disponibile atât în ​​Google Play cât și în afara acestuia. De asemenea, oamenii ar trebui să acorde o atenție deosebită permisiunilor solicitate de orice aplicație.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here