StrandHogg-Permission-Harvesting

I ricercatori di Promon hanno reso pubblica una nuova vulnerabilità sui sistemi Android chiamata StrandHogg.

Questa criticità può essere sfruttata senza la necessità di eseguire il root del dispositivo e si basa su un’impostazione di controllo Android denominata ‘taskAffinity’ che consente alle app, incluse quelle dannose, di assumere liberamente qualsiasi identità nel sistema multitasking.

In pratica quando un utente tocca l’icona di un’app legittima, Strandhogg lo dirotta su un’interfaccia falsa inducendolo a credere che sia tutto regolare. A questo punto qualsiasi cosa faccia l’ignara vittima viene acquisita dal malware.

Di seguito un esempio di attacco in cui vengono rubate username e password:

StrandHogg-Phishing

Una volta infettato il dispositivo, gli aggressori possono accedere a qualsiasi autorizzazione ed eseguire una vasta gamma di azioni, come:

• ascoltare l’utente tramite il microfono;
• scattare foto attraverso la fotocamera;
• leggere e inviare SMS;
• effettuare e / o registrare conversazioni telefoniche;
• ottenere l’accesso a tutte le foto e i file privati ​​sul dispositivo;
• ottenere informazioni sulla posizione e sul GPS;
• ottenere l’accesso all’elenco dei contatti;
• accedere al registro chiamate.

Alcune delle app dannose identificate venivano anche distribuite attraverso diversi dropper e app downloader disponibili sul Play Store. Inoltre la società di sicurezza mobile Lookout ha confermato di aver identificato almeno 36 app che sfruttano la vulnerabilità di Strandhogg.

Promon ha anche rilasciato un video in cui è possibile vedere le varie fasi dell’attacco:

Secondo i ricercatori, non esiste un metodo affidabile per rilevare StrandHogg e non c’è modo di bloccare un simile attacco. Nonostante ciò, gli utenti potrebbero essere in grado di notare varie discrepanze durante l’utilizzo dei loro smartphone, come:

  • app che chiedono nuovamente di loggarsi nonostante l’operazione sia già avvenuta;
  • pop-up di autorizzazioni senza nomi di app;
  • errori di battitura e errori dell’interfaccia utente.

Promon ha segnalato la vulnerabilità di Strandhogg al team di sicurezza di Google quest’estate e ha rivelato i dettagli oggi quando il colosso della tecnologia non è riuscito a correggere il problema anche dopo un periodo di divulgazione di 90 giorni.

Per l’analisi più approfondita ti rimando al link utilizzato come fonte per quest’articolo.

FONTE: Promon.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi