Súlyos, ráadásul a kiberbűnözők által aktívan használt biztonsági rést fedezett fel a Promon és a Lookout – írja a LifeHacker. A StrandHogg-ra keresztelt bug az összes, még a legfrissebb 10-es Andorid-verzióban is megvan. Segítségével a támadók a rosszindulatú programjaikat hiteles alkalmazásként tudják megjeleníteni, és ehhez még root jogosultság sem kell.

Cseh bankok ügyfelei már találkoztak vele

Az alkalmazások széles körű engedélyeket képesek szerezni, melyek birtokában bármilyen műveletet végrehajthatnak (lásd a lenti videót). Például olvashatnak és küldhetnek is üzeneteket, a telefon mikrofonján keresztül lehallgathatják a felhasználót, indíthatnak és rögzíthetnek hívásokat. Fényképeket készíthetnek, hamis bejelentkezési képernyőkkel bizonyos fiókadatokat lophatnak stb. Lényegében bármilyen szolgáltatáshoz és adathoz hozzáférhetnek a telefonon (fotók, fájlokhoz, kapcsolatok, helyadatok, híváslista stb.).

Bár a kutatók már 36 kártékony appot találtak. Ezek egyike sem került be a Google Play Store-ba, viszont olyan rosszindulatú telepítőappokkal kerültek a telefonokra, amelyek a Google alkalmazásboltjában elérhetők – illetve csak elérhetők voltak, mert azóta törölte azokat felületéről. A kártevők között a kutatók megtalálták például a BankBot banki trójai variánsait, melyek kifejezetten pénzügyi adatokra utaznak. Cseh bankok jeleztek is visszaéléseket, amelyeket a StrandHogg-rést kiaknázó kártékony appokkal követhettek el – írta az ArsTechnica.

A Promon szerint a Play Store 500 legnépszerűbb alkalmazására is komoly veszélyt jelent a sérülékenység. Lehetővé teszi ugyanis, hogy mikor a felhasználó egy hiteles appot akar elindítani, ahelyett egy kártékony verzió jelenjen meg, amely a megadott belépési adatokat és egyéb érzékeny információkat továbbítja a támadók szervereire.

Hiteles appot a felhasználók nem bírálnak felül

Mivel az StarndHogg-ra épülő káros appok hiteles alkalmazásnak álcázzák magukat, a legtöbb felhasználó nem kérdőjelezni meg a telepítéskor kért jogosultságokat, hanem automatikusan jóváhagyja az app listáját. Az eddig talált appok építettek is erre: csak olyan jogosultságokat kértek, melyek illeszkednek az app hivatalos tevékenységéhez.

A Promon vizsgálatai szerint a StrandHogg adta lehetőségeket root jogosultságok nélkül lehet kiaknázni. Ezt az Android multitasking rendszerének taskAffinity funkciója teszi lehetővé. (A részletes technikai magyarázatért kattintson ide.)
 

A biztonsági rés elméleti lehetőségét már négy éve leírta egy a Pennsylvania Állami Egyetemen készített tanulmány – maga a biztonsági cég is épített a kártevők elemzésekor annak megállapításaira. A Google, melyhez az egyetem kutatócsoportja eljuttatta az eredményeit, 2015-ben nem találta elég súlyosnak, így nem is próbált elé menni a lehetséges problémáknak. Most sem egyértelmű, hogy tervez-e lépéseket a vállalat – írja tanulmányában a biztonsági cég.

Egyelőre csak a gyári állapot visszaállítása segít

A fertőzés felismerése sem egyszerű, de mint a LifeHacker írja, van néhány árulkodó jel. Gyanús lehet például, ha egy olyan app, amibe már bejelentkezett a felhasználó, újabb bejelentkezést kér. Akkor is érdemes gyanakodni, ha egy app a tevékenysége szempontjából nem releváns engedélyt kér (egy számológép alkalmazás hozzá akar férni a GPS-hez). Szintén érdemes lemondani az alkalmazásról, ha a felhasználói felületén hibákat – akár csak helyesírási hibákat is – találunk, vagy a felületen lévő gombok és linkek nem reagálnak a kattintásra, illetve ha a "vissza" gomb nem működik a várt módon.

A kutatók szerint némi védelmet ad a StrandHogg ellen, ha csak a Play Store-t használjuk. Ha pedig megfertőződött a készülék, legegyszerűbben a gyári állapot visszaállításával szabadulhatunk meg tőle. Ha valaki ezt nem vállalja, akkor egyenként kell végigmenni és ellenőrizni a telepített alkalmazásokat. A LifeHacker szerint még a Promon-partner Lookout védelmi alkalmazása sem valószínű, hogy felismeri az összes olyan alkalmazást, amely StrandHogg kiaknázására épül.