A empresa de segurança Promon descobriu uma vulnerabilidade crítica que afeta todas as versões do Android, incluindo o Android 10, que pode permitir que um invasor obtenha acesso total a um dispositivo comprometido. O mais grave é que a falha atinge todas as versões do Android.
Aplicativos são infectados em falha que atinge todas as versões do Android
Batizado de StrandHogg, a falha de segurança permite que aplicativos infectados se apresentem como aplicativos legítimos. Então, os pesquisadores explicam que todos os 500 aplicativos mais populares disponíveis no Android estão atualmente em risco.
A vulnerabilidade permite que aplicativos maliciosos sejam disfarçados de legítimos, explorando um bug no mecanismo de multitarefa do Android. Um aplicativo infectado pode solicitar permissões em nome de um aplicativo legítimo quando os usuários iniciam a interface multitarefa. Assim, basicamente fazendo com que os alvos acreditem que estão interagindo com o legítimo.
Essa exploração é baseada em uma configuração de controle do Android chamada ‘taskAffinity’, que permite que qualquer aplicativo – incluindo maliciosos – assuma livremente qualquer identidade no sistema de multitarefa que desejar, observa a Promon.
A solicitação exibida na tela pode fornecer aos invasores acesso à câmera, ler e enviar mensagens, gravar conversas telefônicas, obter informações de localização e GPS, roubar a lista de contatos e registros telefônicos e extrair todos os arquivos e fotos armazenados no dispositivo comprometido.
O ataque pode ser projetado para solicitar permissões que seriam naturais para diferentes aplicativos direcionados, reduzindo as suspeitas das vítimas. Os usuários não sabem que estão dando permissão ao hacker e não o aplicativo autêntico que acreditam estar usando, explica a empresa de segurança norueguesa.
Vulnerabilidade já sendo explorada
O pior é que a Promon alega que a vulnerabilidade pode ser explorada sem acesso root. Além disso, os pesquisadores da Lookout dizem que já identificaram um total de 36 aplicativos maliciosos cujo objetivo é tirar proveito do StrandHogg.
Muito importante saber é que o StrandHogg não se espalha por aplicativos publicados na Google Play Store. No entanto, ele pode usar outros aplicativos infectados que já estão listados na loja Play para baixar a carga útil necessária que eventualmente explora o StrandHogg em um dispositivo vulnerável.
Temos provas concretas de que os invasores estão explorando o StrandHogg para roubar informações confidenciais. O impacto potencial disso pode ser sem precedentes em termos de escala e quantidade de danos causados, porque a maioria dos aplicativos é vulnerável por padrão e todas as versões do Android são afetadas, afirma Tom Lysemose Hansen, CTO da Promon.
A Promon já relatou a vulnerabilidade ao Google, mas os patches ainda não estão disponíveis. O Google, no entanto, removeu os aplicativos afetados que poderiam ajudar a soltar o StrandHogg em um dispositivo Android.