Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareVulnerabilità

“StrandHogg”: scoperta grave vulnerabilità che affligge tutte le versioni di Android

app  dispositivi mobili  StrandHogg   martedì, 3 dicembre 2019

StrandHogg LogoI ricercatori di sicurezza della società norvegese Promon hanno scoperto una grave vulnerabilità che affligge il sistema operativo per dispositivi mobili Android. La vulnerabilità, battezzata dagli scopritori “StrandHogg” consente ad un malware di imitare app legittime all’insaputa dell’utente.

La vulnerabilità StrandHogg risulta molto pericolosa in quanto è sfruttabile senza la necessità di eseguire il root del dispositivo. La vulnerabilità è legata ad una debolezza del sistema multitasking di Android e consente ad un’app malevola di mascherarsi come qualsiasi altra app presente sul dispositivo. L’exploit si basa su un’impostazione di controllo di Android denominata “taskAffinity” che consente a qualsiasi app, comprese quelle dannose, di assumere liberamente qualsiasi identità nel sistema multitasking.

Se sfruttata con successo, la vulnerabilità consente ad un’app malevola di richiedere autorizzazioni fingendo di essere l’app legittima. Un utente malintenzionato può così ottenere qualsiasi autorizzazione di accesso, consentendogli di compiere numerose attività malevole, tra cui:

  • ascoltare l’utente tramite il microfono;
  • scattare foto attraverso la fotocamera;
  • leggere ed inviare messaggi SMS;
  • effettuare e/o registrare conversazioni telefoniche;
  • intercettare credenziali di accesso;
  • ottenere l’accesso a tutte le foto e i file privati sul dispositivo;
  • ottenere informazioni sulla posizione e sul GPS;
  • ottenere l’accesso all’elenco dei contatti;
  • accedere ai registri telefonici.
Attacco StrandHogg

Scenario di attacco che sfrutta la vulnerabilità StrandHogg (fonte: Promon)

In un altro scenario di attacco, l’app malevola può essere in grado di mostrare all’utente una falsa schermata di login per un’app legittima, intercettando le credenziali inserite. L’attaccante è così in grado di prendere il controllo di app potenzialmente sensibili, come quelle per l’accesso alle operazioni bancarie o ai social network. Stando a quanto riportato dagli scopritori, tutte le 500 app più popolari (classificate dalla società 42 Matters) risultano vulnerabili a StrandHogg.

I ricercatori di Promon hanno raccolto evidenze dello sfruttamento di questa vulnerabilità in attacchi reali. Lookout, un partner di Promon, ha individuato 36 app malevole che sfruttavano la vulnerabilità StrandHogg in-the-wild. Tra queste vi erano varianti del trojan bancario BankBot osservate già nel 2017.

La vulnerabilità StrandHogg affligge tutte le versioni di Android, incluso Android 10, e al momento non è disponibile una patch da parte di Google. Il malware specifico analizzato da Promon non risiedeva su Google Play ma è stato installato tramite diverse app malevole di tipo dropper/downloader distribuite su Google Play. Queste app sono già state rimosse da Google.

Al momento non esiste un sistema efficace per bloccare la vulnerabilità StrandHogg sui propri dispositivi, né un metodo di rilevamento affidabile. L’unica contromisura possibile risiede nella consapevolezza e nell’attenzione dell’utente verso comportamenti anomali durante il normale uso del dispositivo, tra cui, ad esempio:

  • app o servizi per cui si è già effettuato l’accesso che richiedono nuovamente il login;
  • richieste di autorizzazione che non contengono il nome di un’app;
  • richieste da parte di un’app di autorizzazioni che non dovrebbe richiedere;
  • refusi nel testo dei messaggi ed errori nell’interfaccia utente;
  • pulsanti e collegamenti nell’interfaccia utente che non compiono nessuna azione quando cliccati.
  • mancato funzionamento del pulsante Indietro.

Come regola generale, per evitare di cadere vittime di questo tipo di minacce, si raccomanda agli utenti di evitare di scaricare app dagli store non ufficiali e di non istallare mai direttamente pacchetti APK (Android Package).

Per maggiori informazioni sulla vulnerabilità StrandHogg, sui sistemi affetti, sulle applicazioni vulnerabili e sulle possibili azioni di mitigazione si consiglia di consultare il seguente avviso di sicurezza di Promon (in Inglese):

Notizie correlate

Scoperte 17 app su Apple App Store infette da malware

28 ottobre 2019

Gli esperti di sicurezza della società Wandera hanno scoperto sull'App Store di Apple 17 app per iOS che risultano infette da un clicker trojan.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto