26 Maggio 2020 - Tempo di lettura: 16 minuti
Una vulnerabilità critica per la sicurezza di Android divulgata oggi e soprannominata StrandHogg 2.0 può consentire alle app dannose di mimetizzarsi come la maggior parte delle applicazioni legittime e rubare informazioni sensibili dagli utenti Android.
Secondo i ricercatori della sicurezza Promon che hanno riscontrato il bug, StrandHogg 2.0 ha un impatto su tutti i dispositivi con Android 9.0 e versioni precedenti (Android 10 non è interessato) e può essere sfruttato dagli aggressori senza accesso root.
Dopo aver sfruttato la vulnerabilità critica rilevata come CVE-2020-0096 su un dispositivo Android, gli hacker malintenzionati possono facilmente rubare le credenziali degli utenti con l'aiuto di overlay o dei loro dati abusando delle autorizzazioni delle app.
Abusando del bug StrandHogg 2.0, gli aggressori possono eseguire una vasta gamma di attività dannose che consentono loro di:
Le app dannose che sfruttano la vulnerabilità possono facilmente ingannare gli utenti sostituendo l'interfaccia delle app legittime dopo che sono state avviate tramite la riflessione e rimangono completamente nascoste, come spiega Promon.
"Se la vittima immette quindi le proprie credenziali di accesso all'interno di questa interfaccia, questi dettagli sensibili vengono immediatamente inviati all'attaccante, che può quindi accedere e controllare le app sensibili alla sicurezza", afferma Promon.
"Utilizzando StrandHogg 2.0, gli aggressori possono, una volta installata un'app dannosa sul dispositivo, ottenere l'accesso a messaggi e foto SMS privati, rubare le credenziali di accesso delle vittime, tenere traccia dei movimenti GPS, effettuare e / o registrare conversazioni telefoniche e spiare le telefonate fotocamera e microfono".
Google ha già rilasciato una correzione di sicurezza per le versioni 8.0, 8.1 e 9 di Android, dopo essere stato informato della vulnerabilità a dicembre 2019 e distribuito una patch ai partner dell'ecosistema Android durante aprile 2020.
"Gli utenti Android dovrebbero aggiornare i loro dispositivi all'ultimo firmware il più presto possibile al fine di proteggersi dagli attacchi utilizzando StrandHogg 2.0", ha dichiarato Promon CTO e fondatore Tom Lysemose Hansen.
Fortunatamente, fino ad oggi non è stato osservato alcun malware che sfrutta attivamente il bug di sicurezza in attività.
StrandHogg 2.0 è simile a una precedente vulnerabilità di Android Promon trovata nel 2019, soprannominata StrandHogg, e sfruttata attivamente all'epoca dal trojan bancario BankBot.
"Sono simili nel senso che gli hacker possono sfruttare entrambe le vulnerabilità al fine di ottenere l'accesso a informazioni e servizi molto personali, ma dalla nostra vasta ricerca, possiamo vedere che StrandHogg 2.0 consente agli hacker di attaccare molto più ampiamente mentre è molto più difficile da rilevare", ha dichiarato Promon CTO e fondatore Tom Lysemose Hansen.
StrandHogg ha permesso alle app dannose di dirottare la funzionalità multitasking di Android e di "assumere liberamente qualsiasi identità nel sistema multitasking che desiderano", mentre StrandHogg 2.0 è un'elevazione della vulnerabilità dei privilegi che consente al malware di accedere a quasi tutte le app Android.
"Promon prevede che gli aggressori cercheranno di utilizzare insieme StrandHogg e StrandHogg 2.0 perché entrambe le vulnerabilità sono posizionate in modo univoco per attaccare i dispositivi in modi diversi e garantire che l'area di destinazione sia il più ampia possibile".
Poiché molte delle misure di mitigazione che possono essere adottate contro StrandHogg non si applicano a StrandHogg 2.0 e viceversa, molti utenti Android potrebbero essere esposti a futuri attacchi che tentano di sfruttare entrambe le vulnerabilità.
Inoltre, poiché la stragrande maggioranza degli utenti esegue ancora Android versione 9.0 o precedente sui propri dispositivi (91,8% degli utenti Android attivi in tutto il mondo secondo Google), i malware progettati per abusare dei bug di StrandHogg avranno molti potenziali obiettivi.
Una demo video di StrandHogg 2.0 in azione vogliamo condividerla qui di seguito con voi.