StrandHogg 2.0 permet la prise de contrôle d’applications

Une vulnérabilité critique d’élévation de privilèges nommée StrandHogg 2.0 et affectant les appareils Android a été découverte. Cette faille permet aux hackers de pirater n’importe quelle application sur un téléphone infecté, exposant potentiellement des messages SMS privés, des photos, des informations de connexion, des mouvements GPS, des conversations téléphoniques et plus encore.

La faille critique a été nommé «StrandHogg 2.0» (CVE-2020-0096) par les chercheurs de Promon qui l’ont découverte, en raison de sa similitude avec la vulnérabilité StrandHogg découverte l’année dernière. Comme l’original, une application malveillante installée sur un appareil peut se cacher derrière des applications légitimes. Lorsqu’une icône d’application normale est cliquée, une superposition malveillante est exécutée à la place, ce qui permet de collecter les informations de connexion de l’application légitime.

Cependant, la version 2.0 permet une plus large gamme d’attaques. La principale différence avec cette nouvelle faille est que les exploits sont effectués par le biais de la réflexion, “permettant aux applications malveillantes d’assumer librement l’identité d’applications légitimes tout en restant complètement cachées”, ont expliqué les chercheurs dans un rapport. Le StrandHogg d’origine autorisait les attaques via le paramètre de contrôle TaskAffinity d’Android.

“StrandHogg 2.0 … a appris comment, avec les ressources adaptées par application, attaquer dynamiquement presque n’importe quelle application sur un appareil donné au simple toucher d’un bouton, contrairement à StrandHogg qui ne peut attaquer les applications qu’une par une”, selon les chercheurs.

google

Les pirates injecteraient d’abord l’activité de lancement d’origine des applications qu’ils ciblent avec leur propre activité d’attaque. La tâche apparaîtra comme la tâche d’origine appartenant à l’application; cependant, l’activité d’attaque qui a été placée dans la tâche est ce que l’utilisateur verra réellement lorsque la tâche sera activée.

“En conséquence, la prochaine fois que l’application sera invoquée, par exemple, lorsqu’un utilisateur cliquera sur l’icône de son application, le système d’exploitation Android évaluera les tâches existantes et trouvera la tâche que nous avons créée”, selon le rapport. “Parce qu’elle semble authentique à l’application, elle mettra la tâche que nous avons créée au premier plan et avec elle, notre attaque sera désormais activée.”

Les chercheurs de Promon ont publié une vidéo de preuve de concept sur le fonctionnement d’un exploit:

«Les applications mobiles ont pratiquement une cible peinte sur le dos. La récente découverte de vulnérabilité de logiciels malveillants de Promon, surnommée «StrandHogg 2.0», est le dernier exemple de ce que les logiciels malveillants pourraient faire s’ils étaient exploités dans la nature – exposant éventuellement les informations d’identification des services bancaires mobiles des utilisateurs d’Android et accédant à des mots de passe uniques envoyés par SMS », a déclaré Sam Bakken, responsable marketing chez OneSpan.

Les attaques StrandHogg 2.0 sont également plus difficiles à détecter, ont écrit les chercheurs.

“Les attaquants exploitant StrandHogg doivent entrer explicitement et manuellement les applications qu’ils ciblent dans le manifeste Android, ces informations devenant alors visibles dans un fichier XML qui contient une déclaration d’autorisations, incluant les actions qui peuvent être exécutées”, ont-ils expliqué. “Cette déclaration du code requis, qui peut être trouvée dans le Play Store de Google, n’est pas présente lors de l’exploitation de StrandHogg 2.0.”

Les pirates peuvent cacher davantage leurs activités en raison du fait que StrandHogg 2.0 nécessite un accès root ou une configuration externe, et le code obtenu à partir de Google Play ne semblera pas initialement suspect aux développeurs et aux équipes de sécurité.

strandhogg android

Aucune attaque n’a donc été observée dans la nature, mais les chercheurs théorisent que ce n’est qu’une question de temps avant qu’elles n’apparaissent. Promon a déclaré qu’il s’attend à ce que les cybercriminels utilisent à la fois la faille initiale de StrandHogg et la nouvelle version, afin d’élargir leur surface d’attaque: la plupart des mitigations qui peuvent être exécutées contre StrandHogg ne s’appliquent pas à StrandHogg 2.0 et vice-versa, a déclaré Promon.

“Nous considérons StrandHogg 2.0 comme le jumeau encore plus maléfique de StrandHogg”, a déclaré Tom Lysemose Hansen, CTO chez Promon. “Les pirates qui cherchent à exploiter cette nouvelle faille seront probablement déjà conscients de la vulnérabilité de StrandHogg et le problème est que, lorsqu’ils sont utilisés ensemble, ils deviennent un puissant outil d’attaque pour les pirates informatiques.”

Comment se protéger de StrandHogg 2.0 ?

Google a distribué un correctif pour les versions Android 9, 8.1 et 8, mais les utilisateurs des versions antérieures (représentant 39,2% des appareils Android, selon les chercheurs) resteront vulnérables. Les exploits de StrandHogg 2.0 n’affectent pas les appareils fonctionnant sous Android 10, les utilisateurs doivent donc mettre à jour leurs appareils avec le dernier firmware afin de se protéger contre les attaques.

“Avec une proportion importante d’utilisateurs d’Android qui utilisent toujours des versions plus anciennes du système d’exploitation, un pourcentage important de la population mondiale est toujours à risque”, ont déclaré les chercheurs.

En fait, selon les données de Google, en avril 2020, 91,8% des utilisateurs actifs d’Android dans le monde étaient sur la version 9.0 ou antérieure: Pie (2018), Oreo (2017), Nougat (2016), Marshmallow (2015), Lollipop ( 2014), KitKat (2013), Jellybean (2012) et Ice Cream Sandwich (2011).