Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Mobilni telefoni, 03.12.2019, 04:00 AM

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisnici ne mogu da primete da su njihovi uređaji napadnuti.

Ovu ranjivost koja je nazvana “Strandhogg” već koriste na desetine malicioznih mobilnih aplikacija za krađu podataka za prijavljivanje na bankovne račune, lozinki za online naloge i špijuniranje korisnika. Ranjivost omogućava napadačima da prisluškuju korisnika pomoću mikrofona uređaja, da slikaju kamerom telefona, da čitaju i šalju SMS poruke, da pozivaju i snimaju telefonske razgovore, da kradu lozinke, da pristupaju svim fotografijama i fajlovima na uređaju, da dođu do informacija o lokaciji korisnika, da se domognu liste kontakata, i pristupe evidenciji poziva.

Novootkriveni bag utiče na sve verzije Androida, uključujući i Android 10. Svih 500 najpopularnijih aplikacija su u riziku zbog nje, a istraživači norveške firme Promon koji su otkrili ovaj bag, kažu da je za sada identifikovano 36 malicioznih aplikacija koje ga koriste za napade na korisnike Androida.

Bag omogućava zlonamernoj aplikaciji instaliranoj na uređaju da se maskira u neku drugu, legitimnu aplikaciju, uključujući i bilo koju privilegovanu sistemsku aplikaciju, i da traži dozvole u njeno ime. Napadač može tako tražiti bilo koju dozvolu, uključujući dozvolu za SMS, mikrofon, GPS, što mu može omogućiti da čita poruke, gleda fotografije, prisluškuje korisnika i prati njegovo kretanje. Korisnici nisu svesni da daju dozvolu napadaču a ne autentičnoj aplikaciji za koju misle da je u tom trenutku koriste.

Drugim rečima, kada korisnik dodirne ikonu legitimne aplikacije, malver koji koristi ranjivost Strandhogg može presresti i oteti ovaj zadatak da bi korisniku prikazao lažni interfejs umesto da se pokrene legitimna aplikacija. Korisnik misli da koristi legitimnu aplikaciju, dok zapravo maliciozna aplikacija krade lozinke korisnika koristeći lažne ekrane za prijavu.

„Kada žrtva unese svoje podatke za prijavu unutar ovog interfejsa, oni se odmah šalju napadaču, koji se zatim može prijaviti u aplikacije i kontrolisati bezbednosno osetljive aplikacije.“

„Strandhogg je jedinstven jer omogućava sofisticirane napade bez potrebe da uređaj bude rootovan, koristeći slabost u multitasking sistemu Androida za izvođenje moćnih napada koji omogućavaju malicioznim aplikacijama da se maskiraju u bilo koju drugu aplikaciju na uređaju", kažu istraživači koji su ranjivost nazvali po taktici koju su koristili Vikinzi za pljačku i otmicu ljudi za koje su posle tražili otkup.

Bag Strandhogg je opasan zbog toga što je skoro nemoguće da napadnuti korisnici primete napad, što se može koristiti za otmicu zadatka bilo koje aplikacije instalirane na uređaju, za traženje bilo koje dozvole, bez root pristupa, što funkcioniše na svim verzijama Androida i što nisu potrebna nikakva posebna odobrenja na uređaju.

Još 2015. neke aspekte ove slabosti Androida opisali su istraživači Pen Stejt Univerziteta, ali je Google u to vreme negirao da je ovo opasna ranjivost. Međutim, Promon sada ima opipljive dokaze da je hakeri koriste za napade na korisnike Androida.

Malver koji su istraživači norveške firme analizirali nije pronađen u Google Play prodavnici, ali je on instaliran preko nekoliko dropper aplikacija i aplikacija za preuzimanje distribuiranih preko Play prodavnice.

Promon je uočio ranjivost nakon analize bankarskog trojanca koji je preoteo bankovne račune nekoliko klijenata banaka u Češkoj i ukrao njihov novac.

Ove aplikacije su sada uklonjene, ali uprkos zaštiti Googleovog Play Protecta dropper aplikacije i dalje se objavljuju i često bivaju neprimećene, a neke budu preuzete milion puta pre nego što se primete i uklone.

Promon je obavestio Googleov tim za bezbednost o ovoj ranjivosti još letos, ali pošto kompanija nije uspela da reši problem ni posle isteka roka od 90 dana, norveška firma je objavila detalje o bagu.

Iako ne postoji efikasan i pouzdan način za blokiranje ili otkrivanje napada, korisnici ipak mogu uočiti takve napade ako primete da aplikacija na koju su se već prijavili traži prijavu, ako iskačući zahtevi za dozvole ne sadrže ime aplikacije, ako dozvole koje traži aplikacija nisu neophodne, i ako tasteri i linkovi u korisničkom interfejsu ne rade ništa kada se klikne na njih.