A Promon, uma empresa de segurança norueguesa, descobriu uma vulnerabilidade no Android que permite que apps maliciosos se passem por legítimos, solicitando permissões que darão ao malfeitor controle total sobre o smartphone da vítima. A falha afeta todas as versões do Android, incluindo o Android 10 com as correções de segurança mais recentes, e dispositivos de todos os fabricantes.
A vulnerabilidade foi batizada pela Promon como ‘StrandHogg‘, termo nórdico para a tática Viking de invadir áreas costeiras para saquear cidades e sequestrar pessoas por resgate. Ela possibilita que um aplicativo mal-intencionado solicite permissões enquanto finge ser legítimo.
Um invasor pode solicitar acesso a qualquer permissão, incluindo SMS, fotos, microfone e GPS, permitindo a leitura de mensagens, a visualização de imagens, a espionagem e o rastreamento dos movimentos da vítima.
O ataque pode ser projetado para solicitar permissões que seriam naturais para os diferentes aplicativos-alvo, reduzindo a suspeita das vítimas. Os usuários não sabem que estão dando permissão ao hacker e não ao aplicativo autêntico que acreditam estar usando.
O mecanismo de ação do StrandHogg
Ao explorar esta vulnerabilidade, um aplicativo mal-intencionado instalado no dispositivo também pode gerar uma falsa tela de login se passando por um app legítimo (como o Facebook) sempre que o ícone deste for clicado. Desta forma, as credenciais são enviadas imediatamente ao invasor, que pode fazer login e controlar a conta da vítima.
Segundo o site Xataka Android, o objetivo principal do malware é roubar credenciais bancárias para poder extrair dinheiro das contas das vítimas. No total, mais de 60 bancos teriam sido vítimas do ataque.
O StrandHogg é único por permitir ataques sofisticados sem a necessidade de um dispositivo ter root. Ele usa uma fraqueza no mecanismo multitarefa do Android que baseia-se em uma configuração do sistema chamada “taskAffinity”, que permite que qualquer aplicativo – incluindo maliciosos – assuma livremente qualquer identidade que desejar. Não há nenhum comportamento suspeito ou indicador que possa levar um usuário comum a descobrir que seu aparelho foi infectado
A amostra específica analisada pela Promon não residia por si só no Google Play, mas foi instalada através de vários aplicativos hostis, conhhecidos como “droppers”, distribuídos na loja. Esses aplicativos foram removidos, mas, apesar do conjunto de segurança do Google Play Protect, os droppers continuam a ser publicados e frequentemente passam despercebidos, com alguns sendo baixados milhões de vezes antes de serem detectados e excluídos.
A Lookout, uma parceira da Promon, confirmou que identificou 36 aplicativos maliciosos que exploram a vulnerabilidade. Entre eles, havia variantes do Trojan bancário BankBot observadas em 2017. A Promon fez uma análise e descobriu que todos os 500 apps mais populares para Android (classificados pela empresa de inteligência de aplicativos 42 Matters) são vulneráveis a ataque, com todas as versões do Android afetadas.
Não há nenhum procedimento específico que um usuário pode tomar para se proteger do StrandHogg, além de tomar cuidado com os apps que instala. Como sempre, recomendamos ter um antivírus instalado em seu smartphone.