隔山打牛,是中國傳說中的一種功夫,發功者可以隔著一段距離用拳掌攻擊對手。由於太過經典,這種絕技幾乎是各大武俠小說/劇標配。在現實生活裡,甚至有不少人聲稱已經練就了這一手神功。
不過,若宅宅說木馬也能秒會隔山打牛,你信嗎?先別急著搖頭,一個漏洞的利用還真的能讓這等奇事出現,只不過這次被打的“牛”是銀行。
BankBot銀行木馬(當時一款未命名銀行木馬的源代碼出現在地下黑市,隨後被整合成BankBot)自2017年出現,它的攻擊目標一直是位於俄羅斯、英國、奧地利、德國和土耳其的銀行。
如今這款惡意軟件再度“進化”。
近日,Promon安全研究人員對外公佈一個新的安卓漏洞已發現被BankBot銀行木馬等惡意軟件利用,它會影響操作系統的所有版本(其中也包括Android 10)。
一旦被利用,它就可以使惡意應用偽裝成幾乎任何合法應用執行攻擊,而Promon發現有500個最受歡迎的應用(按應用情報公司42 Matters排名)都容易受到StrandHogg的攻擊。
StrandHogg教會App“隔山打牛”
這個最新發現被利用的漏洞名為StrandHogg。
其獨特之處在於,無需根植設備即可進行復雜的攻擊,並利用安卓多任務處理系統中的一個弱點實施強大的攻擊,使惡意應用程序像設備上的其他任何應用程序一樣進行偽裝。
StrandHogg其實是OS多任務處理組件中的一個錯誤,這種機制使安卓操作系統可以一次運行多個進程,並在應用程序進入或退出用戶視圖時在它們之間切換。當用戶啟動另一個應用程序時,通過任務重做功能,安裝在Android手機上的惡意應用程序就可以利用StrandHogg錯誤來觸發惡意代碼。
Promon稱,該漏洞利用基於一個名為'taskAffinity'的安卓控制設置,該設置允許任何應用程序(包括惡意應用程序)在攻擊者想要的多任務系統中自由地假定任何身份。
此外,該漏洞無需root權限即可被植入手機任意App當中。目前,BankBot銀行木馬已經集成了該漏洞功能,這意味著或許一款應用就可以在無聲無息間清空你的個人賬戶(當然,如果願意入侵一家銀行也不是事兒)。
Promon稱,這一發現已經在今年夏季便告知了谷歌,但至今谷歌尚未在任何版本的安卓上解決此問題,致使安卓用戶直接暴露於旨在濫用它的惡意軟件中。
雖然目前尚無野外利用StrandHogg的惡意應用被發現,但Promon研究人員指出,雖然這些程序已被Google從Play商店中刪除,但這些惡意軟件樣本是通過惡意軟件刪除程序和下載程序分發的,其傳播並不受影響。
還是黑客的趁手“兵器”
你以為StrandHogg就是教會幾款App“隔山打牛”就完了?並不,實際上對於黑客來說它更是趁手兵刃。
Promon稱,一旦攻擊者設法利用StrandHogg的惡意軟件感染設備,攻擊者就可以偽裝成合法應用程序來請求任何許可以提高其數據收集能力,或誘騙受害者通過屏幕覆蓋圖來移交銀行或登錄憑據等敏感信息。
由於攻擊者可以訪問任何安卓權限,因此他們可以執行各種數據收集操作,從而使他們能夠:
通過麥克風收聽用戶
通過相機拍照
閱讀和發送SMS消息
進行和/或記錄電話對話
網絡釣魚登錄憑據
訪問設備上所有私人照片和文件
獲取位置和GPS信息
訪問聯繫人列表
訪問電話日誌
Promon首席技術官湯姆·萊塞米塞·漢森(Tom Lysemose Hansen)稱,我們有明確的證據表明,攻擊者正在利用StrandHogg竊取機密信息。從嚴重程度上來看,這種潛在的影響可能是空前的,因為默認情況下大多數應用程序都容易受到攻擊,而所有安卓版本都受到影響。
暫無解決方案
根據Promon的說法,目前沒有可靠的方法來檢測StrandHogg是否在安卓設備上被利用,也沒有辦法阻止這種攻擊。
儘管如此,用戶可能仍會在使用智能手機時注意到各種差異。例如,手機中的應用程序會要求重新登陸賬戶、應用程序名稱的權限彈出窗口被取消、被要求解開某些應用程序的權限設置、錯別字和UI錯誤以及出現無法正常工作的按鈕。
編譯來源:bleepingcomputer
雷鋒網年度評選——尋找19大行業的最佳AI落地實踐
創立於2017年的「AI最佳掘金案例年度榜單」,是業內首個人工智能商業案例評選活動。雷鋒網從商用維度出發,尋找人工智能在各個行業的最佳落地實踐。
第三屆評選已正式啟動,關注微信公眾號“雷鋒網”,回覆關鍵詞“榜單”參與報名。詳情可諮詢微信號:xqxq_xq