Si chiama StrandHogg la nuova vulnerabilità del sistema operativo Android che decine di applicazioni mobili malevoli stanno già sfruttando per rubare le credenziali bancarie degli utenti, quelle di accesso ai vari servizi online e spiare le loro attività e la loro vita privata.
StrandHogg consente agli aggressori di infettare qualsiasi telefono Android anche senza accesso root e, secondo i ricercatori di sicurezza di Promon che hanno isolato la vulnerabilità, colpisce tutte le versioni del sistema operativo di Google, compreso Android 10.
E al momento, purtroppo, non è stata ancora rilasciata una patch che risolve questo grave problema di sicurezza.
Indice degli argomenti
I dettagli tecnici delle vulnerabilità StrandHogg
La vulnerabilità StrandHogg risiede nella funzionalità multitasking di Android e può essere sfruttata da un’applicazione dannosa installata sul dispositivo della vittima per mascherarsi come qualsiasi altra app presente sul dispositivo, comprese anche quelle di sistema dotate di accessi privilegiati.
Se sfruttata con successo, la vulnerabilità consente di sfruttare una particolare impostazione di controllo del sistema operativo Android denominata “taskAffinity” che consente a qualsiasi app (quindi anche quelle malevoli) di assumere liberamente qualsiasi identità nel sistema multitasking.
In questo modo, quando l’ignara vittima tocca l’icona di un’applicazione legittima, il malware che sfrutta la vulnerabilità StrandHogg compie un’operazione di hijacking che gli consente di intercettare e dirottare questo task per visualizzare una falsa interfaccia (ad esempio di login) all’utente invece di quella relativa all’app legittima.
Qualsiasi comando eseguito in questa schermata e qualsiasi informazione o credenziali di accesso inserite in questa schermata fasulla verranno “catturate” dall’applicazione malevola.
In un primo scenario d’attacco, sfruttando la vulnerabilità StrandHogg i criminal hacker riescono a visualizzare finte schermate di login per rubare le credenziali di accesso alle vittime.
Secondo i ricercatori di Promon, la vulnerabilità StrandHogg consente ad un aggressore di mascherare quasi tutte le app in modo altamente credibile.
Gli attacchi di hijacking compiuti sfruttando la vulnerabilità StrandHogg sono dunque potenzialmente molto pericolosi in quanto, tra le altre cose, è quasi impossibile per le vittime target individuarli. E, una volta portati a termine, consentono ai criminal hacker di ottenere qualsiasi autorizzazione di accesso al dispositivo Android e quindi di compiere numerose attività malevoli tra cui:
- ascoltare l’utente tramite il microfono e registrare l’audio ambientale;
- scattare foto attraverso la fotocamera;
- leggere ed inviare messaggi SMS;
- effettuare o registrare conversazioni telefoniche;
- accedere ai registri telefonici;
- ottenere l’accesso all’elenco dei contatti;
- intercettare credenziali di accesso;
- ottenere informazioni sulla posizione geografica dello smartphone sfruttando il modulo GPS integrato;
- ottenere libero accesso alla memoria dello smartphone e quindi a tutti i file privati dell’utente.
In un secondo scenario d’attacco, i criminal hacker riescono ad ottenere qualsiasi autorizzazione di accesso al dispositivo e compiere numerose attività malevoli per spiare le propre vittime e rubarle dati e informazioni riservate.
Come mitigare i rischi di un attacco
Secondo i ricercatori di Promon la vulnerabilità StrandHogg è stata già sfruttata con successo in numerosi attacchi reali. In particolare, sono state individuate 36 app malevoli di tipo dropper/downloader distribuite su Google Play che, una volta installate, consentivano di scaricare il malware vero e proprio in grado di sfruttare la vulnerabilità.
Google ha già provveduto a rimuovere queste app dal suo store, ma non è escluso che i criminal hacker le abbiano già rimpiazzate.
È stato verificato, inoltre, che tutte le 500 app più popolari secondo la classifica stilata da 42Matters risultano vulnerabili a StrandHogg.
Al momento, come dicevamo, non esiste un sistema efficace per bloccare la vulnerabilità StrandHogg sui propri dispositivi, né un metodo di rilevamento affidabile. Come suggeriscono gli analisti del CERT Nazionale, l’unica contromisura possibile risiede nella consapevolezza e nell’attenzione dell’utente verso comportamenti anomali durante il normale uso del dispositivo, tra cui, ad esempio:
- app o servizi per cui si è già effettuato l’accesso che richiedono nuovamente il login;
- richieste di autorizzazione che non contengono il nome di un’app;
- richieste da parte di un’app di autorizzazioni che non dovrebbe richiedere;
- refusi nel testo dei messaggi ed errori nell’interfaccia utente;
- pulsanti e collegamenti nell’interfaccia utente che non compiono nessuna azione quando cliccati.
- mancato funzionamento del pulsante Indietro.
Gli stessi analisti del CERT Nazionale, inoltre, suggeriscono come regola generale per evitare di cadere vittime di StrandHogg e di altre minacce simili di non scaricare app dagli store non ufficiali e di non istallare mai direttamente pacchetti APK (Android Package).
