Виявлено критичну уразливість ескалації привілеїв користувача, актуальну для пристроїв Android, яку назвали StrandHogg 2.0.
Цей експлойт дозволяє зловмисникам перехоплювати будь-яку програму на зараженому смартфоні – потенційно відкриваючи приватні SMS-повідомлення та фотографії, облікові дані входу, GPS-координати, телефонні розмови тощо. Про це пише ThreatPost.
Дослідники компанії Promon назвали уразливість StrandHogg 2.0 (CVE-2020-0096) через подібність до оригінальної уразливості StrandHogg, виявленої минулого року. Як і оригінал, шкідливий додаток, який використовує цю уразливість, якщо він встановлений на пристрої, може ховатися за легальними програмами. Якщо натиснути на звичайну піктограму додатка, замість цього виконується шкідливий “двійник”, який може збирати облікові дані, призначені для цього додатка.
Однак версія 2.0 передбачає більш широкий спектр атак. Основна відмінність нового експлойта полягає в тому, що “дозволяючи зловмисним програмам вільно імітувати ідентичність додатків, залишаючись при цьому повністю прихованими”, – пояснили дослідники.
“StrandHogg 2.0 … навчився, за допомогою правильного розподілу індивідуальних ресурсів, динамічно атакувати практично будь-яку програму на даному пристрої одночасно одним натисканням кнопки, на відміну від StrandHogg, який може атакувати додатки лише по одному”, – пишуть дослідники.
Зловмисники спочатку заражають механізм запуску потрібних їм програм. Процес буде імітувати оригінальний додаток та так само відображатися в ОС; однак атакова активність, яка була поміщена у процес, – це те, що користувач насправді побачить, коли процес буде активовано.
“Як результат, наступного разу, коли користувач натисне на його значок програми, ОС Android оцінить існуючі процеси та знайде створений нами процес… Оскільки це виглядає як справжня задача для програми, воно виведе на перший план процеси, які ми створили, і разом із цим наша атака буде активована.”- пише команда Promon
“Мобільні додатки практично мають мішень, намальовану на спині. “StrandHogg 2.0”, – це останній приклад того, що небезпечне зловмисне програмне забезпечення може зробити, якщо його експлуатують в реальності – зокрема, відкриття облікових даних мобільних банківських клієнтів на Android та отримання одноразових паролів, що надсилаються через SMS “, – сказав Сем Баккен, старший менеджер з маркетингу продуктів OneSpan.
Атаки за допомогою StrandHogg 2.0 також важче виявити, пишуть дослідники.
“Зловмисникам, що експлуатують StrandHogg першої версії, потрібно явно і вручну вводити додатки, на які вони націлені, в Android Manifest. Ця інформація потім стає видимою у файлі XML, який містить декларацію про дозволи, включаючи те, які дії можуть бути виконані”, – пояснили вони. “Ця декларація необхідного коду, яку можна знайти в магазині Google Play, не стосується використання StrandHogg 2.0.”
Зловмисники можуть додатково приховувати свою діяльність через те, що StrandHogg 2.0 вимагає кореневого доступу або зовнішньої конфігурації, а код, отриманий з Google Play, спочатку не буде підозрілим для розробників та команд безпеки.
Хоча у реальності ще не спостерігалося жодних подібних атак, але дослідники вважають, що такі атаки – лише питання часу. Компанія Promon заявила, що очікує, що учасники загроз разом використовуватимуть як оригінальну помилку StrandHogg, так і нову версію, щоб розширити їхню атакову поверхню. Багато заходів безпеки, які можуть бути виконані проти StrandHogg, не стосуються StrandHogg 2.0 і навпаки, сказали в компанії.
Google випустив виправлення для версій Android 9, 8.1 та 8, проте користувачі на попередніх версіях (що представляють 39,2 відсотка пристроїв Android, як вважають дослідники) залишатимуться уразливими.
Експлуатації StrandHogg 2.0 не впливають на пристрої під управлінням Android 10, тому користувачі повинні оновлювати свої пристрої до найновішої версії ОС, щоб захистити себе від атак.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ВИКОРИСТОВУВАТИ FACE ID НА СВОЄМУ IPHONE ПІД ЧАС НОСІННЯ МАСКИ? – ІНСТРУКЦІЯ
ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?
Нагадаємо, після встановлення оновлення Windows 10 May 2019 Update і November 2019 Update перестають працювати звукові карти, з’являється “синій екран смерті” або виникають проблеми з тимчасовим профілем користувача, а в процесі встановлення з’являються неінформативні повідомлення про помилку.
Також у поштовому сервісі Gmail з’явилася нова функція Google Meet – відтепер Ви можете з’єднуватись зі своїми рідними, друзями, колегами чи знайомими за допомогою відеоконференцзв’язку, не виходячи з пошти. Якщо до Вашого комп’ютера під’єднана відеокамера, достатьно буде натиснути кілька разів, щоб розпочати відеочат.
Хоча Microsoft Office все ще є розповсюдженим вибором для обробки текстів, презентацій слайд-шоу, обчислень електронних таблиць та багатьох інших цифрових завдань, є ще безліч безкоштовних альтернатив.
Зверніть увагу, що за допомогою протоколу віддаленого робочого стола (RDP) адміністратори мережі можуть відкрити користувачам порти для загального доступу через Інтернет до робочих документів з домашнього комп’ютера. Але це становить небезпеку, адже таким чином хакери можуть їх виявити та атакувати.
Окрім цього, інструмент віддаленого доступу з функціями бекдору під назвою Mikroceen використовують у шпигунських атаках на урядові структури та організації в галузі телекомунікацій та газовій промисловості Центральної Азії. Зловмисники могли отримати довгостроковий доступ до інфікованих мереж, маніпулювати файлами та робити знімки екрану.
