WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng StrandHogg trở thành công cụ của các ứng dụng Android độc hại
Hãng an ninh Promon, Na Uy vừa tiết lộ thông tin lỗ hổng StrandHogg đã bị hàng chục ứng dụng Android độc hại khai thác, cùng với đó là hàng trăm ứng dụng phổ biến có nguy cơ bị tấn công.
Theo Promon, các cuộc tấn công StrandHogg có thể xảy ra do điểm yếu trong hệ thống đa nhiệm của Android, cho phép một ứng dụng độc hại được cài đặt trên thiết bị giả danh một ứng dụng hợp pháp nhằm lừa nạn nhân cấp quyền nâng cao.
Ứng dụng Android độc hại không có quyền truy cập root vào thiết bị bị xâm nhập có thể khai thác StrandHogg để lừa người dùng cấp quyền truy cập các tệp được lưu trữ trên thiết bị, máy ảnh, vị trí GPS, tin nhắn SMS, danh bạ, micrô và hơn thế nữa.
Khi có các quyền này, phần mềm độc hại có thể theo dõi người dùng thông qua camera và micrô của thiết bị, đọc SMS, đánh cắp thông tin đăng nhập (bao gồm mã xác thực 2 yếu tố 2FA qua SMS), truy cập ảnh và video riêng tư, lấy vị trí của thiết bị, truy cập danh bạ và nhật ký cuộc gọi, thậm chí thực hiện cuộc gọi và ghi lại cuộc trò chuyện của nạn nhân.
Công ty an ninh Lookout đã xác định được 36 ứng dụng độc hại đang khai thác lỗ hổng, bao gồm các biến thể của Trojan ngân hàng BankBot.
Promon phát hiện StrandHogg trong quá trình phân tích mẫu mã độc được thiết kế để tấn công các ngân hàng ở Séc. Hãng cho biết mặc dù không có trên Google Play nhưng mẫu lại được cài thông qua một số trình tải xuống trên cửa hàng ứng dụng Android chính thống.
Google đã gỡ bỏ các ứng dụng tải xuống khỏi store nhưng chưa phát hành bất kỳ bản vá nào cho Android.
Phát ngôn viên của Google cho biết: “Chúng tôi đánh giá cao phát hiện của các nhà nghiên cứu và đã loại bỏ các ứng dụng có hại. Google Play Protect chịu trách nhiệm phát hiện và chặn các ứng dụng độc hại, bao gồm cả những ứng dụng sử dụng kỹ thuật tấn công này. Ngoài ra, chúng tôi sẽ tiếp tục điều tra nhằm cải thiện vai trò của Google Play Protect để bảo vệ người dùng trước các vấn đề tương tự”.
Theo Promon, các cuộc tấn công StrandHogg có tác dụng trên tất cả các phiên bản Android, bao gồm cả Android 10 mới nhất và đã có 500 ứng dụng Android phổ biến nhất bị ảnh hưởng bởi lỗ hổng.
Khi tấn công StrandHogg, ứng dụng độc hại chiếm quyền điều khiển một ứng dụng hợp pháp, sau đó hiển thị thông báo yêu cầu thêm quyền truy cập.
Tiếp theo, khi nạn nhân mở lại ứng dụng hợp pháp, phần mềm độc hại có thể hiển thị trang đăng nhập giả mạo để đánh cắp thông tin đăng nhập.
Cuộc tấn công không yêu cầu thiết bị phải được khởi động lại, cũng không yêu cầu bất kỳ quyền đặc biệt nào trong giai đoạn ban đầu. Promon đã công bố các chi tiết kỹ thuật và video cho thấy cách thức hoạt động của tấn công StrandHogg.
Các chuyên gia an ninh mạng Bkav khuyến cáo: Người dùng chỉ nên tải ứng dụng khi thật sự cần thiết. Khi ứng dụng yêu cầu cấp quyền truy cập nên tìm kiểu kỹ nội dung xem yêu cầu có phù hợp với mục đích sử dụng và nội dung của ứng dụng hay không.
Theo Promon, các cuộc tấn công StrandHogg có thể xảy ra do điểm yếu trong hệ thống đa nhiệm của Android, cho phép một ứng dụng độc hại được cài đặt trên thiết bị giả danh một ứng dụng hợp pháp nhằm lừa nạn nhân cấp quyền nâng cao.
Khi có các quyền này, phần mềm độc hại có thể theo dõi người dùng thông qua camera và micrô của thiết bị, đọc SMS, đánh cắp thông tin đăng nhập (bao gồm mã xác thực 2 yếu tố 2FA qua SMS), truy cập ảnh và video riêng tư, lấy vị trí của thiết bị, truy cập danh bạ và nhật ký cuộc gọi, thậm chí thực hiện cuộc gọi và ghi lại cuộc trò chuyện của nạn nhân.
Công ty an ninh Lookout đã xác định được 36 ứng dụng độc hại đang khai thác lỗ hổng, bao gồm các biến thể của Trojan ngân hàng BankBot.
Promon phát hiện StrandHogg trong quá trình phân tích mẫu mã độc được thiết kế để tấn công các ngân hàng ở Séc. Hãng cho biết mặc dù không có trên Google Play nhưng mẫu lại được cài thông qua một số trình tải xuống trên cửa hàng ứng dụng Android chính thống.
Google đã gỡ bỏ các ứng dụng tải xuống khỏi store nhưng chưa phát hành bất kỳ bản vá nào cho Android.
Phát ngôn viên của Google cho biết: “Chúng tôi đánh giá cao phát hiện của các nhà nghiên cứu và đã loại bỏ các ứng dụng có hại. Google Play Protect chịu trách nhiệm phát hiện và chặn các ứng dụng độc hại, bao gồm cả những ứng dụng sử dụng kỹ thuật tấn công này. Ngoài ra, chúng tôi sẽ tiếp tục điều tra nhằm cải thiện vai trò của Google Play Protect để bảo vệ người dùng trước các vấn đề tương tự”.
Theo Promon, các cuộc tấn công StrandHogg có tác dụng trên tất cả các phiên bản Android, bao gồm cả Android 10 mới nhất và đã có 500 ứng dụng Android phổ biến nhất bị ảnh hưởng bởi lỗ hổng.
Khi tấn công StrandHogg, ứng dụng độc hại chiếm quyền điều khiển một ứng dụng hợp pháp, sau đó hiển thị thông báo yêu cầu thêm quyền truy cập.
Tiếp theo, khi nạn nhân mở lại ứng dụng hợp pháp, phần mềm độc hại có thể hiển thị trang đăng nhập giả mạo để đánh cắp thông tin đăng nhập.
Cuộc tấn công không yêu cầu thiết bị phải được khởi động lại, cũng không yêu cầu bất kỳ quyền đặc biệt nào trong giai đoạn ban đầu. Promon đã công bố các chi tiết kỹ thuật và video cho thấy cách thức hoạt động của tấn công StrandHogg.
Nguồn: Security Week