安卓高危漏洞讓500款應(yīng)用中招，還教會了銀行木馬“隔山打牛”

隔山打牛，是中國傳說中的一種功夫，發(fā)功者可以隔著一段距離用拳掌攻擊對手。由于太過經(jīng)典，這種絕技幾乎是各大武俠小說/劇標(biāo)配。在現(xiàn)實(shí)生活里，甚至有不少人聲稱已經(jīng)練就了這一手神功。

不過，若宅宅說木馬也能秒會隔山打牛，你信嗎？先別急著搖頭，一個漏洞的利用還真的能讓這等奇事出現(xiàn)，只不過這次被打的“牛”是銀行。

BankBot銀行木馬（當(dāng)時一款未命名銀行木馬的源代碼出現(xiàn)在地下黑市，隨后被整合成BankBot）自2017年出現(xiàn)，它的攻擊目標(biāo)一直是位于俄羅斯、英國、奧地利、德國和土耳其的銀行。

如今這款惡意軟件再度“進(jìn)化”。

近日，Promon安全研究人員對外公布一個新的安卓漏洞已發(fā)現(xiàn)被BankBot銀行木馬等惡意軟件利用，它會影響操作系統(tǒng)的所有版本（其中也包括Android 10）。

一旦被利用，它就可以使惡意應(yīng)用偽裝成幾乎任何合法應(yīng)用執(zhí)行攻擊，而Promon發(fā)現(xiàn)有500個最受歡迎的應(yīng)用（按應(yīng)用情報公司42 Matters排名）都容易受到StrandHogg的攻擊。

StrandHogg教會App“隔山打牛”

這個最新發(fā)現(xiàn)被利用的漏洞名為StrandHogg。

其獨(dú)特之處在于，無需根植設(shè)備即可進(jìn)行復(fù)雜的攻擊，并利用安卓多任務(wù)處理系統(tǒng)中的一個弱點(diǎn)實(shí)施強(qiáng)大的攻擊，使惡意應(yīng)用程序像設(shè)備上的其他任何應(yīng)用程序一樣進(jìn)行偽裝。

StrandHogg其實(shí)是OS多任務(wù)處理組件中的一個錯誤，這種機(jī)制使安卓操作系統(tǒng)可以一次運(yùn)行多個進(jìn)程，并在應(yīng)用程序進(jìn)入或退出用戶視圖時在它們之間切換。當(dāng)用戶啟動另一個應(yīng)用程序時，通過任務(wù)重做功能，安裝在Android手機(jī)上的惡意應(yīng)用程序就可以利用StrandHogg錯誤來觸發(fā)惡意代碼。

Promon稱，該漏洞利用基于一個名為'taskAffinity'的安卓控制設(shè)置，該設(shè)置允許任何應(yīng)用程序（包括惡意應(yīng)用程序）在攻擊者想要的多任務(wù)系統(tǒng)中自由地假定任何身份。

此外，該漏洞無需root權(quán)限即可被植入手機(jī)任意App當(dāng)中。目前，BankBot銀行木馬已經(jīng)集成了該漏洞功能，這意味著或許一款應(yīng)用就可以在無聲無息間清空你的個人賬戶（當(dāng)然，如果愿意入侵一家銀行也不是事兒）。

Promon稱，這一發(fā)現(xiàn)已經(jīng)在今年夏季便告知了谷歌，但至今谷歌尚未在任何版本的安卓上解決此問題，致使安卓用戶直接暴露于旨在濫用它的惡意軟件中。

雖然目前尚無野外利用StrandHogg的惡意應(yīng)用被發(fā)現(xiàn)，但Promon研究人員指出，雖然這些程序已被Google從Play商店中刪除，但這些惡意軟件樣本是通過惡意軟件刪除程序和下載程序分發(fā)的，其傳播并不受影響。

還是黑客的趁手“兵器”

你以為StrandHogg就是教會幾款A(yù)pp“隔山打牛”就完了？并不，實(shí)際上對于黑客來說它更是趁手兵刃。

Promon稱，一旦攻擊者設(shè)法利用StrandHogg的惡意軟件感染設(shè)備，攻擊者就可以偽裝成合法應(yīng)用程序來請求任何許可以提高其數(shù)據(jù)收集能力，或誘騙受害者通過屏幕覆蓋圖來移交銀行或登錄憑據(jù)等敏感信息。

由于攻擊者可以訪問任何安卓權(quán)限，因此他們可以執(zhí)行各種數(shù)據(jù)收集操作，從而使他們能夠：

通過麥克風(fēng)收聽用戶通過相機(jī)拍照閱讀和發(fā)送SMS消息進(jìn)行和/或記錄電話對話網(wǎng)絡(luò)釣魚登錄憑據(jù)訪問設(shè)備上所有私人照片和文件獲取位置和GPS信息訪問聯(lián)系人列表訪問電話日志

Promon首席技術(shù)官湯姆