strandhogg android

Strandhogg, une faille Android activement exploitée

Des chercheurs en cybersécurité ont découvert une nouvelle vulnérabilité nommée Strandhogg. Cette faille est liée au système d’exploitation Android et plusieurs applications mobiles malveillantes l’exploitent déjà pour subtiliser des informations bancaires, des informations de connexion et espionner les actions des victimes.

La vulnérabilité réside dans la fonctionnalité multi-tâche d’Android. Elle peut être exploité par une application malveillante installée sur le système et se fait passé pour n’importe quelle autre application, y compris les applications systèmes privilégiées.

En d’autres mots, quand un utilisateur tape l’icône d’une application légitime, le malware exploitant la vulnérabilité Strandhogg peut intercepter et contrôler cette tâche pour afficher une fausse interface utilisateur au lieu d’exécuter une application légitime.

En faisant penser aux utilisateurs qu’ils utilisent une application légitime, la vulnérabilité permet aux applications malveillantes de subtiliser les informations de connexion en affichant une fausse interface de connexion.

“La vulnérabilité permet à un hacker de se faire passer pour n’importe quelle application d’une manière très convaincante,” ont expliqué les chercheurs.

“Dans cet exemple, le hacker trompe le système et affiche une fausse interface utilisateur en abusant de certaines conditions de transitions d’état de tâche comme taskAffinity et allowTaskReparenting.”

“Quand la victime entre ses informations dans l’interface, les données sensibles sont immédiatement envoyées au hacker. Ce dernier peut ensuite se connecter et contrôler les applications sensibles.”

En plus de l’hameçonnage des informations de connexions, une application malveillante peut aussi obtenir plus de pouvoir en poussant les utilisateurs à leur donner plus de permissions.

Il est possible de demander n’importe quelle permission, par exemple pour avoir accès aux SMS, photos, micros et GPS.”

Découvertes par les chercheurs de la firme de sécurité norvégienne Promon, les attaques Strandhogg sont potentiellement dangereuses car:

  • il est quasiment impossible pour les victimes de détecter l’attaque
  • il est possible de prendre le contrôle d’une tâche de n’importe quelle application installée sur l’appareil
  • elles peuvent faire des demandes de permission
  • la faille peut être exploité sans accès root
  • cela fonctionne sur toutes les versions d’Android
  • cela ne nécessite aucune permission spéciale de l’appareil

Promon a découvert la faille de sécurité après avoir analysé un trojan bancaire qui a accédé aux comptes bancaires de plusieurs personnes en République Tchèque et a volé leur argent.

Strandhogg

Selon les chercheurs, certaines applications malveillantes identifiées étaient distribuées via plusieurs droppers et téléchargeurs disponible sur le Google Play Store.

La firme de sécurité mobile Lookout a aussi analysé l’échantillon malveillant et a confirmé qu’ils ont identifié au moins 36 applications qui exploitent la vulnérabilité Strandhogg.

“Ces applications ont été supprimé, mais malgré la suite de sécurité Play Protect de Google, des applications malveillantes continuent d’être publié sans être détecté. Certaines d’entre elles ont été téléchargé des millions de fois avant d’être découvertes et supprimées,” ont déclaré les chercheurs.

Promon a signalé la faille Strandhogg à l’équipe de sécurité de Google et a divulgué les détails hier car le géant de la technologie n’a pas patché le problème avant la fin de la période de 90 jours.

Comment déceler une attaque Strandhogg?

Il n’y a pas vraiment de manière efficace et fiable de bloquer ou de détecter une attaque de ce genre mais les utilisateurs peuvent remarquer certains symptômes en étant attentifs:

  • une application à laquelle vous êtes déjà connecté vous demande de vous reconnecter
  • affichage de permission qui ne contient pas de nom d’application
  • des demandes de permissions venant d’une application qui ne devrait pas avoir besoin de ces permissions
  • les boutons et les liens dans l’interface utilisateur ne font rien quand on appuie dessus
  • le bouton de retour ne fonctionne pas normalement

Android est l’un des système d’exploitation les plus ciblés par les hacker. La dernière vulnérabilité Android dont nous vous avons parlé permettait d’accéder à la caméra de votre smartphone sans permission.

Poster un Commentaire

avatar
  S’abonner  
Notifier de