ALLERTA PERICOLI INFORMATICI

“STRANDHOGG”: SCOPERTA GRAVE VULNERABILITÀ CHE AFFLIGGE TUTTE LE VERSIONI DI ANDROID

“STRANDHOGG”: SCOPERTA GRAVE VULNERABILITÀ CHE AFFLIGGE TUTTE LE VERSIONI DI ANDROID
Scritto da gestore

I ricercatori di sicurezza della società norvegese Promon hanno scoperto una grave vulnerabilità che affligge il sistema operativo per dispositivi mobili Android. La vulnerabilità, battezzata dagli scopritori “StrandHogg” consente ad un malware di imitare app legittime all’insaputa dell’utente.

La vulnerabilità StrandHogg risulta molto pericolosa in quanto è sfruttabile senza la necessità di eseguire il root del dispositivo. La vulnerabilità è legata ad una debolezza del sistema multitasking di Android e consente ad un’app malevola di mascherarsi come qualsiasi altra app presente sul dispositivo. L’exploit si basa su un’impostazione di controllo di Android denominata “taskAffinity” che consente a qualsiasi app, comprese quelle dannose, di assumere liberamente qualsiasi identità nel sistema multitasking.

Se sfruttata con successo, la vulnerabilità consente ad un’app malevola di richiedere autorizzazioni fingendo di essere l’app legittima. Un utente malintenzionato può così ottenere qualsiasi autorizzazione di accesso, consentendogli di compiere numerose attività malevole, tra cui:

ascoltare l’utente tramite il microfono;
scattare foto attraverso la fotocamera;
leggere ed inviare messaggi SMS;
effettuare e/o registrare conversazioni telefoniche;
intercettare credenziali di accesso;
ottenere l’accesso a tutte le foto e i file privati sul dispositivo;
ottenere informazioni sulla posizione e sul GPS;
ottenere l’accesso all’elenco dei contatti;
accedere ai registri telefonici.

Scenario di attacco che sfrutta la vulnerabilità StrandHogg
In un altro scenario di attacco, l’app malevola può essere in grado di mostrare all’utente una falsa schermata di login per un’app legittima, intercettando le credenziali inserite. L’attaccante è così in grado di prendere il controllo di app potenzialmente sensibili, come quelle per l’accesso alle operazioni bancarie o ai social network. Stando a quanto riportato dagli scopritori, tutte le 500 app più popolari (classificate dalla società 42 Matters) risultano vulnerabili a StrandHogg.

I ricercatori di Promon hanno raccolto evidenze dello sfruttamento di questa vulnerabilità in attacchi reali. Lookout, un partner di Promon, ha individuato 36 app malevole che sfruttavano la vulnerabilità StrandHogg in-the-wild. Tra queste vi erano varianti del trojan bancario BankBot osservate già nel 2017.

La vulnerabilità StrandHogg affligge tutte le versioni di Android, incluso Android 10, e al momento non è disponibile una patch da parte di Google. Il malware specifico analizzato da Promon non risiedeva su Google Play ma è stato installato tramite diverse app malevole di tipo dropper/downloader distribuite su Google Play. Queste app sono già state rimosse da Google.

Al momento non esiste un sistema efficace per bloccare la vulnerabilità StrandHogg sui propri dispositivi, né un metodo di rilevamento affidabile. L’unica contromisura possibile risiede nella consapevolezza e nell’attenzione dell’utente verso comportamenti anomali durante il normale uso del dispositivo, tra cui, ad esempio:

Intermezzo promozionale ... continua la lettura dopo il box:

app o servizi per cui si è già effettuato l’accesso che richiedono nuovamente il login;
richieste di autorizzazione che non contengono il nome di un’app;
richieste da parte di un’app di autorizzazioni che non dovrebbe richiedere;
refusi nel testo dei messaggi ed errori nell’interfaccia utente;
pulsanti e collegamenti nell’interfaccia utente che non compiono nessuna azione quando cliccati.
mancato funzionamento del pulsante Indietro.
Come regola generale, per evitare di cadere vittime di questo tipo di minacce, si raccomanda agli utenti di evitare di scaricare app dagli store non ufficiali e di non istallare mai direttamente pacchetti APK (Android Package).

Per maggiori informazioni sulla vulnerabilità StrandHogg, sui sistemi affetti, sulle applicazioni vulnerabili e sulle possibili azioni di mitigazione si consiglia di consultare il seguente avviso di sicurezza di Promon (in Inglese):

https://promon.co/security-news/strandhogg/

https://www.certnazionale.it/news/2019/12/03/strandhogg-scoperta-grave-vulnerabilita-che-affligge-tutte-le-versioni-di-android/