不过,若说木马也能秒会隔山打牛,你信吗?先别急着摇头,一个漏洞的利用还真的能让这等奇事出现,只不过这次被打的“牛”是银行。
BankBot 银行木马(当时一款未命名银行木马的源代码出现在地下黑市,随后被整合成 BankBot )自 2017 年出现,它的攻击目标一直是位于俄罗斯、英国、奥地利、德国和土耳其的银行。
如今这款恶意软件再度“进化”。
近日,Promon 安全研究人员对外公布一个新的安卓漏洞已发现被 BankBot银行木马等恶意软件利用,它会影响操作系统的所有版本(其中也包括Android 10 )。
一旦被利用,它就可以使恶意应用伪装成几乎任何合法应用执行攻击,而Promon 发现有 500 个最受欢迎的应用(按应用情报公司 42 Matters 排名)都容易受到 StrandHogg 的攻击。
StrandHogg 教会 App “隔山打牛”
这个最新发现被利用的漏洞名为 StrandHogg。
其独特之处在于,无需根植设备即可进行复杂的攻击,并利用安卓多任务处理系统中的一个弱点实施强大的攻击,使恶意应用程序像设备上的其他任何应用程序一样进行伪装。
StrandHogg 其实是 OS 多任务处理组件中的一个错误,这种机制使安卓操作系统可以一次运行多个进程,并在应用程序进入或退出用户视图时在它们之间切换。当用户启动另一个应用程序时,通过任务重做功能,安装在Android 手机上的恶意应用程序就可以利用 StrandHogg 错误来触发恶意代码。
Promon 称,该漏洞利用基于一个名为 'taskAffinity' 的安卓控制设置,该设置允许任何应用程序(包括恶意应用程序)在攻击者想要的多任务系统中自由地假定任何身份。
此外,该漏洞无需 root 权限即可被植入手机任意 App 当中。目前,BankBot 银行木马已经集成了该漏洞功能,这意味着或许一款应用就可以在无声无息间清空你的个人账户(当然,如果愿意入侵一家银行也不是事儿)。
Promon 称,这一发现已经在今年夏季便告知了谷歌,但至今谷歌尚未在任何版本的安卓上解决此问题,致使安卓用户直接暴露于旨在滥用它的恶意软件中。
虽然目前尚无野外利用 StrandHogg 的恶意应用被发现,但 Promon 研究人员指出,虽然这些程序已被 Google 从 Play 商店中删除,但这些恶意软件样本是通过恶意软件删除程序和下载程序分发的,其传播并不受影响。
还是黑客的趁手“兵器”
你以为 StrandHogg 就是教会几款 App “隔山打牛”就完了?并不,实际上对于黑客来说它更是趁手兵刃。
Promon 称,一旦攻击者设法利用 StrandHogg 的恶意软件感染设备,攻击者就可以伪装成合法应用程序来请求任何许可以提高其数据收集能力,或诱骗受害者通过屏幕覆盖图来移交银行或登录凭据等敏感信息。
由于攻击者可以访问任何安卓权限,因此他们可以执行各种数据收集操作,从而使他们能够:
通过麦克风收听用户
通过相机拍照
阅读和发送SMS消息
进行和/或记录电话对话
网络钓鱼登录凭据
访问设备上所有私人照片和文件
获取位置和GPS信息
访问联系人列表
访问电话日志
Promon 首席技术官汤姆·莱塞米塞·汉森(Tom Lysemose Hansen)称,我们有明确的证据表明,攻击者正在利用 StrandHogg 窃取机密信息。从严重程度上来看,这种潜在的影响可能是空前的,因为默认情况下大多数应用程序都容易受到攻击,而所有安卓版本都受到影响。
暂无解决方案
根据 Promon 的说法,目前没有可靠的方法来检测 StrandHogg 是否在安卓设备上被利用,也没有办法阻止这种攻击。
尽管如此,用户可能仍会在使用智能手机时注意到各种差异。例如,手机中的应用程序会要求重新登陆账户、应用程序名称的权限弹出窗口被取消、被要求解开某些应用程序的权限设置、错别字和 UI 错误以及出现无法正常工作的按钮。
编译来源:bleepingcomputer
文章来源:宅客频道,转载请标明出处,发布此信息的目的在于传播更多信息,如有侵权请联系删除。