StrandHogg крадёт со смартфонов данные кошельков и банковских аккаунтов

Недавно обнаруженная уязвимость, которую исследователи шведской компании Promon назвали StrandHogg, позволяет хакерам получить доступ к приватным данным практически на любом устройстве с ОС Android, и этот эксплойт уже был использован для кражи банковской информации.

Оказалось, что StrandHogg известен с 2015 года, так как исследователи уже встречали пробную версию такого кода. Однако «рабочая» версия эксплойта, которая «встраивается» в различные приложения, появилась совсем недавно и стремительно распространяется по всему миру. Promon даже создала информационную страницу для StrandHogg, поняв, насколько опасной она является, и как беспрепятственно может распространяться.

Эксплойт позволяет стороннему вредоносному ПО прервать запуск легитимных приложений, предлагая пользователю совершать во всплывающих окнах некоторые «разрешительные» действия с приватными данными. Такие действия якобы нужны для работы запущенных приложений. После «одобрения» пользователем таких действий легитимное приложение работает как обычно, а вредоносный код крадёт данные (с «разрешения» пользователя).

Представители Promon заявили, что протестировали не менее 500 популярных приложений, которые оказались уязвимыми, в то время как эксплойт может действовать во всех версиях ОС Android.

Исследователи Promon также обнаружили, что эксплойт уже использовался троянской программой BankBot для перехвата SMS-сообщений, регистрации нажатия клавиш, переадресовки звонков и даже блокировки телефонов с целью получения выкупа. И это, разумеется, должно беспокоить любого, кто работает с банковскими и финансовыми приложениями, а также криптовалютными кошельками на своём телефоне.

Эксплойт, как сообщается, также может показывать фейковую страницу входа для некоторых приложений, но гораздо более распространены именно «разрешения».

Серьёзная угроза

Исследователи обнаружили вредоносное ПО тогда, когда «сразу несколько банков в Чехии сообщили об исчезновении денег со счетов клиентов».

Они также отметили, что, когда компания Google удалила уязвимые приложения, эксплойт не был исправлен ни в одной версии Android, включая Android 10.

Исследователь Лукас Штефанко написал в своём Твиттере:

«Уязвимость для Android StrandHogg позволяет вредоносному приложению маскироваться в любом другом приложении. Если вы запустите приложение Facebook, то будет запущено и вредоносное ПО. Посмотрите видео, как это работает [ссылка]».

Исследователи компании Promon дали этому эксплойту название StrandHogg, ассоциируя его с древнескандинавской тактикой викингов, которые совершали набеги на прибрежные районы, захватывали людей, а затем требовали выкуп за них.

Компания Google также сообщила, что ценит работу исследователей Promon и перестала выставлять потенциально опасные приложения в связи с возникновением данной проблемы.

Интересное по теме