کلاه‌برداران در حال سوءاستفاده از نقص امنیتی در Android هستند که به تخلیه حساب‌های بانکی کاربران می‌پردازد

وی افزود: "پروون آسیب‌پذیری StrandHogg را پس‌ازآنکه توسط یک شرکت امنیتی اروپای شرقی [Wultra] برای بخش مالی آشکار شد، شناسایی کرد (Promon در آنجا به عنوان پشتیبانی امنیتی فعالیت می‌کند) که چندین بانک در جمهوری چک گزارش داده‌اند که پول از حساب مشتری حذف می‌شوند. در آن زمان، این موضوع در رسانه‌های چک پوشش داده شد (اما توضیح داده نشده است). شریک Promon نمونه‌ای از بدافزارهای مشکوک را برای تحقیقات به پرومون داد."محققان Promon توضیح دادند،همه نسخه‌های اندرویدی تحت تأثیر قرار می‌گیرند و از بین 500 برنامه مشهور آندروید در معرض خطر هستند.

StrandHogg منحصربه‌فرد است زیرا باعث می‌شود حملات پیشرفته و بدون نیاز به روت شدن دستگاه انجام شود. برای انجام حملات، حمله‌کننده نیازی به مجوزهای ویژه در دستگاه ندارد. این آسیب‌پذیری همچنین به مهاجمان اجازه می‌دهد تا تقریباً هر برنامه را با روشی بسیار باورپذیر قبول نمایند. "

درباره آسیب‌پذیری StrandHogg

StrandHogg به مهاجمان اجازه می‌دهد صفحات ورود به سیستم جعلی را به کاربران نشان دهند و از همه انواع مجوزهایی که درنهایت ممکن است به آن‌ها اجازه دهد درخواست کنند.مجوزهایی شامل خواندن و ارسال پیامک، اعتبارنامه ورود به سیستم،برقراری و ضبط مکالمات تلفنی ،شنود از طریق میکروفن،  فعال‌سازی دوربین دستگاه  و دسترسی  به عکس‌ها، پرونده‌ها در دستگاه، مکان و اطلاعات GPS، لیست مخاطبین، سیاهه‌های مربوط به تلفن و غیره.

StrandHogg  با استفاده از ضعف در سیستم چندوظیفه‌ای Android، حملات قدرتمندی را ایجاد می‌کند که به برنامه‌های مخرب اجازه می‌دهد تا مانند سایر برنامه‌های دستگاه، نقاب شوند. محققان توضیح دادند که این بهره‌برداری مبتنی بر تنظیم کنترل اندروید به نام "taskAffinity" است که به هر برنامه‌ای  ازجمله برنامه‌های مخرب  اجازه می‌دهد تا هرگونه هویتی را در سیستم چندوظیفه‌ای موردنظر خود به‌طور آزاد تصور کنند.

با استفاده از این آسیب‌پذیری، وقتی قربانی روی نماد برنامه یک برنامه مشروع کلیک می‌کند، با استفاده از این آسیب‌پذیری (روی نسخه برای تصویر بزرگ‌تر کلیک کنید):

Screenshot_2_2.jpg

Tomon Lysemose Hansen گفت: "تأثیر بالقوه این امر می‌تواند ازنظر مقیاس و میزان خسارت ناشی از آن بی‌سابقه باشد زیرا بیشتر برنامه‌ها به‌طور پیش‌فرض آسیب‌پذیر هستند و تمام نسخه‌های ندرویدی تحت تأثیر قرار می‌گیرند."

کاربران چه‌کاری می‌توانند انجام دهند؟

شرکت امنیتی موبایل Lookout 36 برنامه مخرب سوءاستفاده از آسیب‌پذیری StrandHogg را شناسایی کرده است و در میان آن‌ها انواع تروجان بانکی BankBot وجود دارد.

بدافزار با استفاده از نقص StrandHogg در Google Play یافت نشد اما از طریق چندین برنامه dropper / بارگیری‌های خصمانه توزیع‌شده از طریق Google Play در دستگاه‌های هدف نصب شد،این برنامه‌های خاص توسط Google حذف‌شده است، اما برنامه‌های Dropper اغلب با محافظت از Google Play محافظت می‌کنند و با تظاهر به عملکرد برنامه‌های محبوب، کاربران را در بارگیری آن‌ها ترغیب می‌کنند.

علیرغم محققان دانشگاه ایالتی پن، به‌طور نظری جنبه‌های خاصی از آسیب‌پذیری StrandHogg در سال 2015 و Promon را که گوگل از کشف آن‌ها در تابستان امسال خبر داد، توضیح داده‌اند، هنوز گوگل حفره امنیتی را وصل نکرده است، اما آن‌ها گفتند که آن‌ها در حال بررسی راه‌هایی برای بهبود قابلیت‌های Google Play در محافظت از کاربران هستند. در مورد مسائل مشابه محققان Promon می‌گویند تشخیص اینکه مهاجمان از StrandHogg علیه برنامه (های) خود استفاده می‌کنند، برای سازندگان برنامه مشکل است، اما با تنظیم نمودار فعالیت‌ها در برنامه می‌توان خطر را تا حدودی کاهش داد.

به گفته محققان، هیچ روش مؤثری برای جلوگیری از StrandHogg در دستگاه‌های Android وجود ندارد، بنابراین به کاربران توصیه می‌شود به مواردی مانند ذیل توجه نمایند.

برنامه یا خدمتی که قبلاً وارد آن شده اند، برای درخواست  ورود به سیستم.

 پنجره‌های بازشده دارای مجوز که دارای نام برنامه نیستند.

 دکمه‌ها و پیوندها در رابط کاربری که هنگام کلیک روی آن کاری انجام نمی‌دهند.

 علائم و اشتباهات در رابط کاربری.