未修补的Strandhogg Android漏洞在野外被积极利用

网络安全研究人员在Android操作系统中发现了一个新的未修补漏洞，数十个恶意移动应用程序已经在野外利用该漏洞窃取用户的银行和其他登录凭据，并监视他们的活动。

配音斯特兰多格，该漏洞存在于Android的多任务功能中，安装在设备上的恶意应用可以利用该漏洞伪装成设备上的任何其他应用，包括任何特权系统应用。

换句话说，当用户点击合法应用程序的图标时，利用Strandhogg漏洞的恶意软件可以拦截并劫持此任务，从而向用户显示虚假界面，而不是启动合法应用程序。

该漏洞诱使用户认为他们使用的是合法的应用程序，从而使恶意应用程序能够利用虚假登录屏幕方便地窃取用户的凭据。

研究人员说：“该漏洞允许攻击者以高度可信的方式伪装成几乎任何应用程序。”。

“在本例中，攻击者通过滥用一些任务状态转换条件，即taskAffinity和Allowtaskre，成功误导系统并启动欺骗UI。”

“当受害者在此界面中输入其登录凭据时，敏感的详细信息会立即发送给攻击者，攻击者可以登录并控制安全敏感的应用。”

除了钓鱼登录凭据之外，恶意应用还可以通过欺骗用户在冒充合法应用的同时授予敏感设备权限，从而显著提升其功能。

“攻击者可以请求访问任何权限，包括短信、照片、麦克风和GPS，允许他们阅读消息、查看照片、窃听和跟踪受害者的移动。”

挪威安全公司Promon的研究人员发现，Strandhogg任务劫持攻击具有潜在危险，因为：

• 目标用户几乎不可能发现攻击，
• 它可以用来劫持安装在设备上的任何应用程序的任务，
• 它可以用于欺诈性地请求任何设备权限，
• 它可以在没有根访问权限的情况下被利用，
• 它适用于所有版本的Android，并且
• 它不需要在设备上有任何特殊权限。

Promon在分析一个恶意银行特洛伊木马应用程序后发现了该漏洞，该应用程序劫持了捷克共和国几名客户的银行账户，并偷走了他们的钱。

据研究人员称，一些已识别的恶意应用程序也通过谷歌Play商店上的几个滴管和恶意下载应用程序进行分发。
移动安全公司Lookout随后也对恶意样本进行了分析，并确认他们在野外发现了至少36个利用Strandhogg漏洞的恶意应用。

研究人员说：“这些应用程序现在已经被删除，但尽管谷歌推出了Play Protect security suite，dropper应用程序仍在继续发布，并经常被忽略，有些应用程序在被发现和删除之前被下载了数百万次。”。

今年夏天，Promon向谷歌安全团队报告了Strandhogg漏洞，并在今天披露了细节，当时这家科技巨头在90天的披露时间后仍未能修补该问题。

虽然没有有效可靠的方法来阻止或检测任务劫持攻击，但用户仍然可以通过关注差异来发现此类攻击，例如：

• 您已登录的应用程序要求登录，
• 不包含应用程序名称的权限弹出窗口，
• 从应用程序请求的权限不应要求或不需要其请求的权限，
• 点击时，用户界面中的按钮和链接不会起任何作用，
• 后退按钮无法按预期工作。