StrandHogg 2.0 - Vulnerabilidade crítica no Android pode expor credenciais bancárias, mensagens SMS e muito mais

StrandHogg 2.0 – Critical Android Vulnerability Could Expose Banking Credentials, SMS Messages & More

TechCrunch relatado hoje que uma das vulnerabilidades mais graves incluídas no Boletim de segurança do Android de maio de 2020 (CVE-2020-0096) pode permitir que invasores acessem dados confidenciais manipulados ou gerados por quase qualquer aplicativo instalado em um dispositivo Android infectado. Ainda não há casos conhecidos dessa vulnerabilidade sendo explorada na natureza, mas, como você pode imaginar, ela representa um risco para aplicativos e usuários de serviços financeiros móveis - afetando dispositivos não raiz e raiz. Vamos explorar o que essa vulnerabilidade significa para os desenvolvedores de aplicativos de serviços financeiros e o que eles podem fazer para reduzir os riscos para suas instituições e usuários finais.

O que é o StrandHogg 2.0 e que danos pode causar?

Strandhogg 2.0
Fonte da imagem: -ERR:REF-NOT-FOUND- https://promon.co/strandhogg-2-0/

O malware que explora a vulnerabilidade StrandHogg 2.0, descoberto e divulgado pela empresa de segurança Promon, pode mascarar-se como outros aplicativos instalados no mesmo dispositivo Android. Essa vulnerabilidade está relacionada ao Vulnerabilidade original do StrandHogg descoberta no final de 2019 . No entanto, como é mais difícil detectar um ataque à vulnerabilidade e pode ser usado para atacar vários aplicativos simultaneamente, é considerado mais sério.

Eis por que os bancos precisam considerar os riscos associados ao StrandHogg 2.0:

  1. O malware pode solicitar permissões disfarçadas como um aplicativo legítimo
  2. Se essas permissões forem concedidas, o aplicativo malicioso pode acessar informações privadas, incluindo mensagens SMS, fotos, localização GPS, conversas telefônicas e muito mais
  3. Quando um usuário lança um aplicativo legítimo para serviços bancários móveis, o malware pode inserir uma tela de login simulada na parte superior do aplicativo para roubar as credenciais do usuário

1	O malware pode solicitar permissões disfarçadas como um aplicativo legítimo
Fonte da imagem:
https://promon.co/strandhogg-2-0/

Por exemplo, digamos que um usuário baixe um aplicativo de notificação de exposição / rastreamento de contato COVID-19 da Google Play Store em um dispositivo infectado com malware que explora essa vulnerabilidade. Quando o usuário inicia o aplicativo COVID-19, o malware pode se inserir nessa sessão e solicitar permissões como GPS e mensagens. O usuário pode se sentir à vontade concedendo essas permissões ao que eles supõem ser um aplicativo legítimo quando, na verdade, eles concedem essas posições a malware.

Para reiterar, hoje não existem exemplos conhecidos de campanhas de malware que exploram essa vulnerabilidade em estado selvagem. No entanto, isso pode mudar. Aplicativos maliciosos estavam explorando o vulnerabilidade original do StrandHogg no final de 2019 para segmentar usuários de banco móvel. Com mais detalhes sobre o StrandHogg 2.0 agora disponíveis, os invasores podem repetir campanhas anteriores para aumentar sua eficácia.

Impacto do StrandHogg 2.0: todas as versões do Android vulneráveis que não sejam o Android 10

Com claro potencial de dano, a próxima pergunta é quanto da população está exposta? Felizmente, o Android 10 não é afetado. Infelizmente, nem um em cada dez usuários do Android foi atualizado para o Android 10. O StandHogg 2.0 afeta todas as outras versões do Android (91,8% dos dispositivos).

Aqui está um gráfico útil que mostra qual porcentagem de usuários está usando as versões afetadas do sistema operacional Android (maioria) com base em dados do Android Studio em abril de 2020.

porcentagem de usuários usando versões afetadas do sistema operacional Android

Sim, o Google emitiu patches para o Android 8, 8.1 e 9 como parte do Boletim de segurança do Android de maio de 2020. No entanto, não há garantia de que esses patches cheguem a todos os dispositivos móveis com Android 8, 8.1 ou 9. Mesmo assim, 40% dos usuários do Android executam o Android 7.1 ou anterior e permanecem vulneráveis.

OK, estou suficientemente assustado - O que posso fazer para me proteger contra o StrandHogg 2.0?

Primeiro, os usuários do Android devem atualizar seu dispositivo para a versão mais recente do Android. Infelizmente, dependendo do fabricante do dispositivo e da operadora / operadora de um usuário, isso pode não ser possível. É por isso que os desenvolvedores de aplicativos e, especialmente, os desenvolvedores de aplicativos de serviços financeiros móveis precisam tomar nota.
Não há uma maneira confiável de saber o status de segurança preciso dos dispositivos móveis nos quais seu aplicativo móvel opera. Os desenvolvedores não têm como saber se o dispositivo de um usuário está cheio de vulnerabilidades ou se está comprometido com malware. É por isso que a cibersegurança avançada, como blindagem de aplicativo e a proteção de tempo de execução que acompanha o aplicativo para defendê-lo (e a seus usuários), mesmo em condições hostis, é crucial para uma abordagem completa e em camadas da segurança de aplicativos móveis.

Blindagem de Aplicativo Móvel
Relatório branco

Bloquear aplicativos móveis: como reduzir fraudes, economizar dinheiro e proteger receitas

Se você gostou deste podcast, baixe este white paper. Descubra como a proteção de aplicativos com proteção de tempo de execução é essencial para o desenvolvimento de um aplicativo bancário móvel seguro e resiliente.

Baixar Agora

Sam é gerente sênior de marketing de produtos, responsável pelo portfólio de segurança de aplicativos móveis OneSpan e tem quase 10 anos de experiência em segurança da informação.