研究人员于本周一称,数百万已打好补丁的安卓手机存在的一个漏洞正被恶意软件积极利用,这些恶意软件旨在窃取受感染用户的银行账户。
安全公司Promon的研究人员在一篇帖子中称,该漏洞允许恶意应用伪装成合法的应用,目标是已经安装并信任的应用。这些恶意软件以已安装的受信任应用程序为幌子运行,然后可以请求执行敏感任务的权限,如录制音频或视频、拍照、阅读文本信息或网络钓鱼登录凭证。对请求单击“是”的目标将受到攻击。
Lookout是一家移动安全提供商,也是Promon的合作伙伴。该公司的研究人员周一报告称,他们发现有36个应用程序利用了这一欺骗漏洞。这些恶意应用程序包括BankBot银行木马的变种。自2017年以来,BankBot一直处于活跃状态,来自恶意软件家族的应用程序被发现多次渗透到谷歌游戏市场。
这个漏洞在版本6到10中最为严重,根据Statista的统计,全世界80%的Android手机都存在这个漏洞。针对这些版本的攻击允许恶意应用在伪装成合法应用的同时请求许可。这些恶意应用程序可以搜索的权限没有限制。可以访问文本消息、照片、麦克风、相机和GPS。用户唯一的防御是对请求单击“no”。
多任务处理的亲和力
这个漏洞是在一个名为TaskAffinity的函数中发现的。TaskAffinity是一个多任务处理特性,它允许应用程序在多任务环境中以其他应用程序或任务的身份运行。恶意应用程序可以通过设置一个或多个活动的TaskAffinity来匹配可信第三方应用程序的包名,从而利用这一功能。FLAG_ACTIVITY_NEW_TASK,恶意应用会被放置在目标任务的内部和顶部。
Promon的研究人员写道:“因此,恶意活动劫持了目标的任务。”“下一次目标应用程序从启动程序启动时,沐鸣开户测速被劫持的任务将被带到前台,恶意活动将可见。然后,恶意应用程序只需像目标应用程序一样出现,就可以成功地对用户发起复杂的攻击。甚至在目标应用程序安装之前,就有可能劫持这样的任务。”
Promon表示,谷歌已经将恶意应用从其游戏市场中移除,但到目前为止,所有版本的Android似乎都没有修复这一漏洞。Promon称这种脆弱性为“StrandHogg”,这是一个古斯堪的纳维亚语术语,指的是维京人突袭沿海地区,劫掠并劫持人质索要赎金的战术。Promon和Lookout都没有确认恶意应用程序的名称。这种遗漏使得人们很难知道他们是否被感染。
谷歌的代表没有回答有关这个漏洞何时会被修补、有多少谷歌播放应用程序被发现利用它、有多少终端用户受到影响等问题。代表们只写道:
“我们感谢研究人员的工作,并暂停了他们发现的可能有害的应用程序。谷歌Play Protect可以检测并阻止恶意应用,包括使用这项技术的应用。此外,我们正在继续调查,以提高谷歌Play Protect保护用户免受类似问题的能力。”
StrandHogg对缺乏经验的用户或那些有认知或其他类型缺陷的用户构成了最大的威胁,这些缺陷使得他们很难密切关注应用程序的细微行为。不过,alert用户可以做几件事来检测试图利用该漏洞的恶意应用程序。可疑的迹象包括:
已经登录的应用程序或服务正在请求登录。
不包含应用程序名称的权限弹出。
从应用程序请求的权限,不应该要求或需要它请求的权限。例如,沐鸣开户测速一个计算器应用程序请求GPS许可。
用户界面中的拼写和错误。
用户界面中的按钮和链接在单击时不执行任何操作。
返回按钮不能正常工作。
捷克银行的密报
Promon的研究人员表示,他们从一家未具名的东欧金融机构安全公司了解到,捷克共和国的几家银行报告称,客户账户上的钱消失了,于是他们确定了StrandHogg的身份。合作伙伴向Promon提供了一个疑似恶意软件的样本。Promon最终发现恶意软件正在利用这个漏洞。Promon partner Lookout随后发现了36个利用该漏洞的应用程序,包括BankBot变种。
周一的《华盛顿邮报》没有说总共有多少家金融机构被列为攻击目标。
分析的恶意软件样本Promon是通过谷歌Play上的几个下载应用程序和下载程序安装的。虽然谷歌已经删除了它们,但新的恶意应用进入谷歌运营的服务并不罕见。更新:在这篇文章发布后,Lookout的一名代表在一封电子邮件中表示,在谷歌Play中发现的36个应用程序都是不可用的。
读者们再次被提醒要对谷歌Play内外的Android应用程序高度怀疑。人们还应该密切关注任何应用程序请求的权限。