phone_forwardedINCIDENTE? S.O.S (11) 3280-2158

Falha crítica no Android permite sequestro de aplicativos

Cyber security + Global news Clarity today29/05/2020 1284 4

Background
share close

De acordo com portais especializados, pesquisadores divulgaram uma falha crítica de segurança no Android que poderia ser usada por cibercriminosos para disseminar aplicativos maliciosos como se fossem legítimos com o objetivo de realizar ataques de phishing nos dispositivos.

A vulnerabilidade descoberta por uma empresa norueguesa especializada em proteção de aplicativos móveis chama-se ‘StrandHogg 2.0‘. O nome que indica que este é um “gêmeo do mal” de uma falha semelhante de mesmo nome divulgada pela empresa em 2019.

A boa notícia é que não há indicação de que esteja sendo usado ativamente por atores mal intencionados.

SOBRE O STRANDHOGG 2.0

  • A vulnerabilidade não precisa que o sistema esteja configurado com permissões de root e, não exige permissões específicas;
  • Permite que os hackers sequestrem a maioria dos aplicativos, ou seja, realizariam a sobreposição do aplicativo original no momento da abertura do mesmo. A sobreposição assume a forma de uma tela de login, solicitação de permissões etc.

Ao contrário da primeira versão da vulnerabilidade, o StrandHogg 2.0:

  • Pode sobrepor mais de um aplicativo simultaneamente;
  • A detecção é complexa devido à sua execução baseada em código.
“A principal diferença entre o StrandHogg e o StrandHogg 2.0 é que o primeiro utiliza um atributo chamado taskAffinity para sequestrar as tarefas em execução. Para o invasor, a desvantagem do taskAffinity é que ele deve ser compilado no AndroidManifest.xml do aplicativo malicioso, em texto simples.
Embora o taskAffinity tenha muitos usos legítimos, o atributo serve como uma dica ao Google Play Protect para detectar aplicativos maliciosos que exploram a primeira versão do StrandHogg.” Explicou o pesquisador durante a publicação do estudo.

E COMO A VULNERABILIDADE FUNCIONA?

Como primeiro passo, após o usuário abrir um aplicativo legítimo, o código malicioso captura a informação e indicadores e, como passo seguinte, a informação original é sobreposta por uma tarefa maliciosa diretamente na base de informações do sistema operacional.
“Como resultado, na próxima vez que o aplicativo for executado, o sistema operacional Android avaliará as tarefas existentes e encontrará a tarefa maliciosa que foi criada. Por parecer genuíno para o aplicativo, ele trará a tarefa que criamos para o primeiro plano e, com ele, nosso ataque será completado.” Descreve o pesquisador responsável por encontrar a vulnerabilidade.

PROVA DE CONCEITO

Os pesquisadores publicaram um vídeo como prova de conceito para uma exploração com sucesso:

SISTEMAS LEGADOS

De acordo com dados do Google, em abril de 2020, 91,8% dos usuários ativos do Android em todo o mundo estão na versão 9.0 ou anterior: Pie (2018), Oreo (2017), Nougat (2016), Marshmallow (2015), Lollipop ( 2014), KitKat (2013), Jellybean (2012) e Ice Cream Sandwich (2011).

QUAIS SISTEMAS SÃO AFETADOS E O QUE FAZER?

Segundo a pesquisa, a vulnerabilidade afeta todas as versões do Android abaixo da versão 10 do sistema (com a ressalva de que as versões anteriores do Android menores que a 4.0.1 não foram testadas.
O Google lançou uma atualização para os parceiros do ecossistema Android em abril de 2020 e uma correção para as versões 8.0, 8.1 e 9 do Android ao público em maio de 2020.

O RISCO AINDA PERSISTE

Mesmo com o Google disponibilizando o pacote de atualização, os usuários das versões anteriores (representando 39,2% dos dispositivos Android, disseram os pesquisadores) permanecerão vulneráveis.

“Com uma proporção significativa de usuários do Android que ainda está executando versões mais antigas do sistema operacional, uma grande porcentagem da população global ainda está em risco”, disseram os pesquisadores.

A CLARITY

A CLARITY, empresa especializada em produtos e serviços de segurança da informação conta, em seu portfolio, com soluções para proteção de endpoints, como dispositivos móveis, visando a confidencialidade das informações.

Contate-nos por meio de nossa página de contato, ou envie um e-mail para: [email protected]

Fontes:

  • NakedSecurity
  • threatpost.com
  • helpnetsecurity.com

Written by: Clarity

Tagged as: , , , .

Rate it
Previous post
Similar posts