Pesquisadores da empresa de segurança norueguesa Promon descobriram uma nova vulnerabilidade de elevação de privilégio no Android que permite que hackers tenham o a quase todos os aplicativos.
Este bug do Android apelidado de “StrandHogg 2.0”(CVE-2020-0096) ataca um dispositivo mostrando uma interface falsa, que engana os usuários para fornecer informações confidenciais que incluem mensagens SMS privadas e fotos, roubo de credenciais de das vítimas, rastreamento de movimentos de GPS, criação e / ou gravação de telefone conversas e espionagem através da câmera e do microfone de um telefone.
Ao contrário da infame vulnerabilidade do StrandHogg, que permitiu que aplicativos maliciosos sequestrassem o recurso multitarefa do Android e “assumissem livremente qualquer identidade no sistema multitarefa que desejassem”, o novo StrandHogg 2.0 falha é uma vulnerabilidade de elevação de privilégio que permite que o malware obtenha o a quase todos os aplicativos Android.
“Se a vítima inserir suas credenciais de nesta interface, esses detalhes confidenciais serão enviados imediatamente para o invasor, que poderá fazer o e controlar os aplicativos de segurança”, diz Promon.
No entanto, ao contrário do StrandHogg, que só pode atacar um aplicativo de cada vez, o StrandHogg 2.0, sendo o gêmeo mais astuto, aprendeu como, com os recursos sob medida corretos por aplicativo, “atacar dinamicamente quase qualquer aplicativo em um determinado dispositivo simultaneamente com o toque de um botão”.
O que torna tudo ainda pior é que StrandHogg 2.0 é “quase indetectável”, dificultando a detecção de antivírus e verificadores de segurança e, como tal, representa um perigo significativo para o usuário final.
A Promon prevê que os invasores procurarão utilizar tanto o StrandHogg quanto o StrandHogg 2.0 juntos porque ambas as vulnerabilidades estão posicionadas de forma única para atacar dispositivos de maneiras diferentes, e isso garantiria que a área de destino seja a mais ampla possível.
Da mesma forma, muitas das mitigações que podem ser executadas contra StrandHogg não se aplicam a StrandHogg 2.0 e vice versa.
StrandHogg 2.0 explorações não afetam os dispositivos que executam o Android 10. No entanto, uma proporção significativa de usuários do Android relatou que ainda está executando versões mais antigas (Android 9.0 e abaixo) deixa uma grande porcentagem (91.8% de usuários ativos do Android) da população global em risco.
Os pesquisadores da Promon publicaram um vídeo de demonstração do StrandHogg 2.0 mostrando como a exploração funcionaria:
Promon notificou o Google sobre a vulnerabilidade em dezembro 4, 2019, permitindo que o Google proponha um patch para o bug. O gigante das buscas lançou um patch para parceiros do ecossistema Android durante abril de 2020 e para dispositivos que operam com Android 8.0, 8.1, e 9.0.
Uma vez que muitos OEMs nem sempre lançam essas atualizações para manter seus dispositivos atualizados, isso coloca milhões de dispositivos em risco.
“Vemos StrandHogg 2.0 como o gêmeo ainda mais maligno de StrandHogg. Eles são semelhantes no sentido de que os hackers podem explorar ambas as vulnerabilidades para obter o a informações e serviços muito pessoais, mas a partir de nossa extensa pesquisa, podemos ver que StrandHogg 2.0 permite que os hackers ataquem de forma muito mais ampla, embora sejam muito mais difíceis de detectar ”, disse Tom Lysemose Hansen, CTO e fundador da Promon.
“Atacantes procurando explorar StrandHogg 2.0 provavelmente já estará ciente da vulnerabilidade do StrandHogg original e a preocupação é que, quando usado junto, ele se torna uma ferramenta de ataque poderosa para agentes mal-intencionados.
“Os usuários do Android devem atualizar seus dispositivos com o firmware mais recente o mais rápido possível, a fim de se protegerem contra ataques que utilizam o StrandHogg 2.0. Da mesma forma, os desenvolvedores de aplicativos devem garantir que todos os aplicativos sejam distribuídos com as medidas de segurança apropriadas para mitigar os riscos de ataques em liberdade. ”
Um porta-voz do Google mencionou que a empresa não encontrou nenhuma evidência de que o malware estivesse sendo explorado ativamente à solta até hoje.
“Agradecemos o trabalho dos pesquisadores e lançamos uma correção para o problema que identificaram”, disse o porta-voz do Google.
Além disso, o Google Play Protect, um serviço de triagem de aplicativos integrado aos dispositivos Android, bloqueará os aplicativos que tentam explorar o StrandHogg 2.0 vulnerabilidade.
A Promon aconselha os usuários a atualizar seus dispositivos Android com as atualizações de segurança lançadas recentemente o mais rápido possível para corrigir a vulnerabilidade.
