Эксплуатация уязвимости позволяет создавать приложения для кражи логинов и паролей для банковских учетных записей.
Исследователи безопасности из ИБ-фирмы Promon обнаружили опасную уязвимость в программном обеспечении Android, с помощью которой злоумышленники могут замаскировать вредоносное ПО под официальные приложения для кражи логинов и паролей для банковских учетных записей.
Уязвимость, получившая название StrandHogg, затрагивает все версии Android, включая Android 10. По данным специалистов, к подобному типу атаки уязвимы 500 наиболее популярных приложений.
Воспользовавшись уязвимостью, злоумышленник может запросить любые разрешения, в том числе доступ к SMS-сообщениям, фотографиям, микрофону и GPS, что позволит ему читать сообщения, проматривать фотографии и отслеживать перемещения жертвы. При этом пользователь не заподозрит, что предоставляет разрешения преступнику, а не легитимному приложению.
Атака StrandHogg, задействующая атрибут taskAffinity в Android, позволяет "подменить" иконку легитимного приложения таким образом, что при нажатии на нее запустится вредоносное приложение. Таким образом, когда пользователь введет свои учетные данные в интерфейсе, вся информация отправится атакующему.
По словам экспертов, данная техника использовалась в атаках на 60 финансовых организаций (названия они не привели). В рамках кампаний применялись различные варианты банковского трояна BankBot.
Исследователи проинформировали корпорацию Google о проблеме. Техногигант уже удалил эксплуатирующие данную уязвимость приложения из Google Play Store.
Собираем и анализируем опыт профессионалов ИБ