挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞,恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。
在2019年12月,Promon曾警告说,一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。
StrandHogg是北欧语中的一个古老术语,描述了维京人的战术,其中涉及袭击沿海地区掠夺并扣押人们以勒索赎金,它利用了Android多任务处理系统的弱点。它允许权限受限的恶意应用程序伪装成合法应用程序,以获取更高的特权,从而使攻击者可以监视用户并访问设备上存储的数据。
Promon透露已经发现了另一个类似的Adndroid漏洞,将其命名为StrandHogg 2.0(CVE-2020-0096),并称其为StrandHogg的“邪恶双胞胎”。
与StrandHogg1.0版本漏洞类似,StrandHogg 2.0可以被利用来劫持应用程序,但该公司警告说:“2.0版本可以进行更广泛的攻击,并且更难检测。”
恶意软件利用StrandHogg 2.0不需要任何权限,受害者只需执行恶意应用即可触发利用。如果利用成功,则攻击者可以滥用被劫持的应用程序来获取读取SMS消息,窃取文件,网络钓鱼登录凭据,跟踪设备的位置,拨打或记录电话以及通过电话的麦克风和间谍监视用户所需的特权。相机。
根据Promon的说法,StrandHogg 2.0可以同时定位多个应用程序,并且更难检测。
利用StrandHogg 1.0的攻击者必须在Android Manifest中明确并手动输入他们要感染的目标应用程序,然后这些信息才能在包含许可声明(包括可以执行哪些操作)的XML文件中显示,但StrandHogg 2.0并不需要Google Play的代码声明。
该公司补充说:
由于不需要外部配置即可执行StrandHogg 2.0,它使黑客能够进一步掩盖攻击,因为开发人员和安全团队一般不会怀疑来自Google Play的代码。
Google于2019年12月4日获悉此漏洞(StrandHogg2.0),并通过2020年5月的Android安全更新对其进行了修补。该技术巨头将其分配了漏洞编码CVE-2020-0096,并将其描述为特权提升的关键问题。
对于1.0版本的StrandHogg,Google专注于检测和阻止利用此漏洞的恶意应用程序,而不是发布适用于Android的补丁程序。
Promon表示StrandHogg 2.0不会影响Android 10,但该公司指出,目前大约有90%的Android设备运行的是较早版本的移动操作系统。
Promon表示尚不知道有任何利用此新漏洞的恶意软件,但它预测黑客会同时利用StrandHogg和StrandHogg 2.0,因为这两个漏洞方法不同,双管齐下可以尽可能扩大目标的攻击面。