Исследователи из норвежской компании Promon обнаружили серьезную уязвимость Android, позволяющую злоумышленникам перехватывать критически важные пользовательские данные и устанавливать скрытый контроль над мобильными устройствами. Эксперты насчитали в Google Play несколько десятков зловредных приложений, эксплуатирующих этот баг, и предполагают, что в зоне риска находятся вообще все Android-приложения.
Первыми тревогу забили несколько чешских банков, заметивших пропажу денег с клиентских счетов. Эксперты по безопасности проследили проблему до вредоносного приложения, которое использовало неизвестную ранее уязвимость Android. Специалисты дали этому багу наименование StrandHogg («страндхёг») — так в Средневековье назывались грабительские набеги викингов на прибрежные города.
Новая уязвимость, которая на данный момент актуальна для всех версий Android, содержится в процессах самой ОС, поэтому злоумышленникам не приходится взламывать сторонние приложения, а сами атаки проходят максимально скрытно для жертв. Проблема связана с механизмом многозадачности Android, а точнее, с использованием атрибута taskAffinity. Легитимное назначение этой настройки состоит в том, чтобы приложения могли перехватывать друг у друга задачи (разработчики называют эту процедуру «сменой родителя» — task reparenting).
Именно так taskAffinity используют и зловреды, выводя на экран собственные диалоговые окна при запуске легитимных приложений. Жертва атаки полагает, что запрос поступил от программы, которую она хочет открыть, а в итоге дает преступникам доступ к своему устройству. Таким образом вредоносное приложение может затребовать себе максимальный набор разрешений или украсть пользовательские учетные данные.
По словам исследователей, у жертв атаки фактически нет шансов заметить перехват управления, поэтому с высокой вероятностью они одобрят запрос. В свою очередь, преступники стараются застраховаться от подозрений, подстраивая содержание и оформление всплывающего окна под интерфейс маскировочного приложения.
Эксперты заключают, что переоценить вредоносный потенциал новой уязвимости нелегко. Эксплойт работает на всех Android-устройствах, включая аппараты с последней, 10-й версией ОС. Преступники получают возможность тотального контроля над смартфонами и планшетами даже без разблокировки root-доступа.
Злоумышленники могут использовать StrandHogg, чтобы прослушивать пользовательские звонки, читать SMS, электронную почту и сообщения в соцсетях, отслеживать перемещения, запускать диктофон и камеру, похищать фото, видео, логины и пароли. Все это — при полном неведении как жертв, так и создателей приложений, которые преступники используют для прикрытия.
Специалисты подтвердили работоспособность метода на 500 самых популярных Android-приложениях (по рейтингу аналитической компании 42 Matters). Каждое из них, как оказалось, можно использовать для маскировки нежелательных действий. Для доставки ПО, способного выводить поддельные окна, преступники используют дропперы. Исследователи обнаружили в Google Play 36 приложений, созданных специально под использование StrandHogg. Уязвимость пополнила арсенал трояна BankBot, который проявляет активность по меньшей мере с 2017 года.
Эксперты сообщили разработчикам Google о существующей проблеме, однако те пока не успели подготовить заплатки. Исследователи подождали 90 дней и, поняв, что патча нет, опубликовали свои находки.
На данный момент единственное, что может помочь пользователям Android защититься от StrandHogg — это максимальная внимательность к диалоговым окнам на их устройствах. Поводом для подозрений могут быть запросы на дополнительные права от давно установленного приложения, грамматические и пунктуационные ошибки во всплывающих окнах, неработающие ссылки и кнопки, странные требования, которые не соответствуют профилю отправившего их приложения (например, запрос на геолокацию от калькулятора).
Угроза StrandHogg — это лишь последний опасный баг Android, о котором стало известно за последние месяцы. В конце октября исследователи нашли уязвимость нативной NFC-утилиты, позволявшую перенаправлять пользователей на опасные интернет-страницы. Позже эксперты предупредили о проблемах в десятках приложений, которые предустанавливаются на смартфоны Samsung, Sony, Xiaomi и других крупных производителей.
Немалые опасения у специалистов вызвал баг обработки файлов GIF, который был изначально обнаружен в WhatsApp, а потом и в тысячах других приложений. Ошибка одной из библиотек открывала преступникам несанкционированный доступ к Android-устройствам с возможностью исполнения стороннего кода.
