【安全预警】安卓高危漏洞能让500款应用中招，还教会木马“隔山打牛”​

​安卓高危漏洞

它不仅有能力让500个流行应用中招

还会一招“隔山打牛”

隔山打牛，是中国传说中的一种功夫，发功者可以隔着一段距离用拳掌攻击对手。由于太过经典，这种绝技几乎是各大武侠小说/剧标配。在现实生活里，甚至有不少人声称已经练就了这一手神功。

不过，若说木马也能秒会隔山打牛，你信吗？

先别急着摇头

一个漏洞的利用还真的能让这等奇事出现

BankBot银行木马自2017年出现，它的攻击目标一直是位于俄罗斯、英国、奥地利、德国和土耳其的银行。

如今这款恶意软件再度“进化”。

近日，安全研究人员对外公布，一个新的安卓漏洞（StrandHogg）已发现被BankBot银行木马等恶意软件利用，它会影响安卓操作系统的所有版本（包括Android 10）。

一旦被利用，StrandHogg可以使恶意应用伪装成几乎任何合法应用执行攻击，研究发现有500个最受欢迎的应用都容易受到攻击。

StrandHogg教会App“隔山打牛”

StrandHogg的独特之处在于
无需根植设备即可进行复杂的攻击，并利用安卓多任务处理系统中的一个弱点实施强大的攻击，使恶意应用程序像设备上的其他任何应用程序一样进行伪装。

StrandHogg其实是操作系统多任务处理组件中的一个错误，这种机制使安卓操作系统可以一次运行多个进程，并在应用程序进入或退出用户视图时在它们之间切换。当用户启动另一个应用程序时，通过任务重做功能，安装在Android手机上的恶意应用程序就可以利用StrandHogg错误来触发恶意代码。

该漏洞利用基于一个名为'taskAffinity'的安卓控制设置，该设置允许任何应用程序（包括恶意应用程序）在攻击者想要的多任务系统中自由地假定任何身份。

此外，该漏洞无需root权限即可被植入手机任意App当中。目前，BankBot银行木马已经集成了该漏洞功能，这意味着或许一款应用就可以在无声无息间清空你的个人账户！

安全人员表示，这一发现已经在今年夏季便告知了谷歌，但至今谷歌尚未在任何版本的安卓上解决此问题，致使安卓用户直接暴露于旨在滥用它的恶意软件中。

黑客手中的趁手“兵器”

你以为StrandHogg就是教会几款App“隔山打牛”就完了？并不，实际上对于黑客来说它更是趁手兵刃。

一旦攻击者设法利用StrandHogg的恶意软件感染设备，

攻击者就可以伪装成合法应用程序来请求任何许可以提高其数据收集能力。

或诱骗受害者通过屏幕覆盖图来移交银行或登录凭据等敏感信息。

由于攻击者可以访问任何安卓权限

因此他们可以执行各种数据收集操作

从而使他们能够

/通过麦克风收听用户

/通过相机拍照

/阅读和发送SMS消息

/进行和/或记录电话对话

/网络钓鱼登录凭据

/访问设备上所有私人照片和文件

/获取位置和GPS信息

/访问联系人列表

/访问电话日志

安全人员称，有明确的证据表明，攻击者正在利用StrandHogg窃取机密信息。从严重程度上来看，这种潜在的影响可能是空前的，因为默认情况下大多数应用程序都容易受到攻击，而所有安卓版本都受到影响。

用户需注意手机特殊变化

目前没有可靠的方法来检测StrandHogg是否在安卓设备上被利用，也没有办法阻止这种攻击。

尽管如此，用户可能仍会在使用智能手机时注意到各种差异。

例如，手机中的应用程序会要求重新登陆账户、应用程序名称的权限弹出窗口被取消、被要求解开某些应用程序的权限设置、错别字和UI错误以及出现无法正常工作的按钮。

来源：浦东网警