安卓高危漏洞能讓500款應用中招，還教會木馬“隔山打牛”

今天蜀黍要給大家預警一個

安卓高危漏洞

它不僅有能力讓500個流行應用中招

還會一招“隔山打牛”

隔山打牛，是中國傳說中的一種功夫，發功者可以隔著一段距離用拳掌攻擊對手。由於太過經典，這種絕技幾乎是各大武俠小說/劇標配。在現實生活裡，甚至有不少人聲稱已經練就了這一手神功。

不過，若說木馬也能秒會隔山打牛，你信嗎？

先別急著搖頭

一個漏洞的利用還真的能讓這等奇事出現

BankBot銀行木馬自2017年出現，它的攻擊目標一直是位於俄羅斯、英國、奧地利、德國和土耳其的銀行。

如今這款惡意軟體再度“進化”。

近日，安全研究人員對外公佈，一個新的安卓漏洞（StrandHogg）已發現被BankBot銀行木馬等惡意軟體利用，它會影響安卓作業系統的所有版本（包括Android 10）。

一旦被利用，StrandHogg可以使惡意應用偽裝成幾乎任何合法應用執行攻擊，研究發現有500個最受歡迎的應用都容易受到攻擊。

StrandHogg教會App“隔山打牛”

StrandHogg的獨特之處在於

無需根植裝置即可進行復雜的攻擊，並利用安卓多工處理系統中的一個弱點實施強大的攻擊，使惡意應用程式像裝置上的其他任何應用程式一樣進行偽裝。

StrandHogg其實是作業系統多工處理元件中的一個錯誤，這種機制使安卓作業系統可以一次執行多個程序，並在應用程式進入或退出使用者檢視時在它們之間切換。當用戶啟動另一個應用程式時，透過任務重做功能，安裝在Android手機上的惡意應用程式就可以利用StrandHogg錯誤來觸發惡意程式碼。

該漏洞利用基於一個名為‘taskAffinity’的安卓控制設定，該設定允許任何應用程式（包括惡意應用程式）在攻擊者想要的多工系統中自由地假定任何身份。

此外，該漏洞無需root許可權即可被植入手機任意App當中。目前，BankBot銀行木馬已經集成了該漏洞功能，這意味著或許一款應用就可以在無聲無息間清空你的個人賬戶！

安全人員表示，這一發現已經在今年夏季便告知了谷歌，但至今谷歌尚未在任何版本的安卓上解決此問題，致使安卓使用者直接暴露於旨在濫用它的惡意軟體中。

駭客手中的趁手“兵器”

你以為StrandHogg就是教會幾款App“隔山打牛”就完了？並不，實際上對於駭客來說它更是趁手兵刃。

一旦攻擊者設法利用StrandHogg的惡意軟體感染裝置，

攻擊者就可以偽裝成合法應用程式來請求任何許可以提高其資料收集能力。

或誘騙受害者透過螢幕覆蓋圖來移交銀行或登入憑據等敏感資訊。

由於攻擊者可以訪問任何安卓許可權

因此他們可以執行各種資料收集操作

從而使他們能夠

/透過麥克風收聽使用者

/透過相機拍照

/閱讀和傳送SMS訊息

/進行和/或記錄電話對話

/網路釣魚登入憑據

/訪問裝置上所有私人照片和檔案

/獲取位置和GPS資訊

/訪問聯絡人列表

/訪問電話日誌

安全人員稱，有明確的證據表明，攻擊者正在利用StrandHogg竊取機密資訊。從嚴重程度上來看，這種潛在的影響可能是空前的，因為預設情況下大多數應用程式都容易受到攻擊，而所有安卓版本都受到影響。

使用者需注意手機特殊變化

目前沒有可靠的方法來檢測StrandHogg是否在安卓裝置上被利用，也沒有辦法阻止這種攻擊。

儘管如此，使用者可能仍會在使用智慧手機時注意到各種差異。

例如，手機中的應用程式會要求重新登陸賬戶、應用程式名稱的許可權彈出視窗被取消、被要求解開某些應用程式的許可權設定、錯別字和UI錯誤以及出現無法正常工作的按鈕。