Une vulnérabilité globale d'Android pourrait voler des données de portefeuille et bancaires

Une vulnérabilité récemment découverte, appeléeStrandHogg, pourrait permettre aux pirates d'accéder aux données privées de presque tous les téléphones Android et a déjà été utilisé pour accéder à des informations bancaires. Documenté par une société de sécurité.Promon, l'exploit affecte toutes les versions d'Android.

L'exploit StrandHogg n'est T particulièrement nouveau : les chercheurs en sécurité en ont connaissance. preuve de conceptversion depuis 2015. Une version fonctionnelle, et potentiellement dangereuse, de l'exploit est apparue récemment, cachée dans un logiciel malveillant qui se propage sur Internet depuis un an. Promon a créé unpage d'informationpour l'exploit après avoir découvert à quel point il pouvait être répandu et dangereux.

L'exploit interrompt le FLOW d'une application depuis le lancement jusqu'à l'écran d'accueil et oblige un utilisateur à accorder à un logiciel malveillant des autorisations puissantes avant de laisser l'application légitime s'exécuter.

« Nos chercheurs se sont concentrés sur la description de la vulnérabilité en tant que telle, mais nous avons également collaboré avec Lookout Security, qui a contribué à l'analyse de ses bases de données de logiciels malveillants. Ils ont identifié 36 applications malveillantes exploitant la faille », a déclaré Lars Lunde Birkeland, directeur marketing et communication de Promon.

« Nous avons testé les 500 applications les plus populaires et elles sont toutes vulnérables », a-t-il déclaré.

Toutes les versions d'Android, y compris Android 10, sont affectées et même les téléphones apparemment sécurisés, corrigés, seraient vulnérables selon Promon.

Se cacher à la vue de tous

Cet exploit fonctionne en détournant une application légitime dès son lancement sur presque tous les téléphones Android. Au lieu d'accéder à l'écran d'accueil ou à la page de connexion, il permet à un logiciel malveillant d'afficher des fenêtres contextuelles d'autorisation, demandant si l'application peut accéder à vos contacts, à votre localisation et à vos données stockées. Lorsque vous approuvez la Request, le logiciel malveillant obtient toutes les autorisations à la place de l'application légitime, qui continue de fonctionner comme si de rien n'était.

« La victime clique sur l'application légitime, mais au lieu d'y être redirigée, le logiciel malveillant trompe l'appareil en affichant une fenêtre d'autorisation. La victime accorde les autorisations au logiciel malveillant et à l'attaquant, puis elle est redirigée vers l'application légitime », a expliqué Birkeland.

Les chercheurs ont découvert qu'un programme cheval de Troie appeléBankBota utilisé l'exploit pour se donner de puissantes autorisations qui pourraient intercepter les messages SMS, enregistrer les frappes au clavier, transférer les appels et même verrouiller un téléphone jusqu'à ce que vous payiez une rançon, une préoccupation pour quiconque exécute des applications bancaires, financières ou de portefeuille sur son téléphone.

« C'est un cheval de Troie bancaire bien connu et présent dans tous les pays du monde », a déclaré Birkeland.

L'exploit peut également afficher une fausse page de connexion pour certaines applications sur certains téléphones Android, mais l'exploit des autorisations est beaucoup plus courant.

Une affaire sérieuse

« La vulnérabilité est très grave. En tant qu'attaquant, vous êtes capable de mener des attaques très puissantes », a déclaré Birkeland.

Promon a découvert le malware lorsque « plusieurs banques en République tchèque ont signalé la disparition d'argent des comptes clients », ont écrit les chercheurs.

« À partir de là, grâce à ses recherches, Promon a pu identifier que le logiciel malveillant était utilisé pour exploiter une dangereuse vulnérabilité Android. Lookout, partenaire de Promon, a également confirmé avoir identifié 36 applications malveillantes exploitant cette vulnérabilité. Parmi elles figuraient des variantes du cheval de Troie bancaire BankBot observées dès 2017 », ont-ils écrit.

« Bien que Google ait supprimé les applications concernées, à notre connaissance, la vulnérabilité n'a pas encore été corrigée pour aucune version d'Android (y compris Android 10) », ont écrit les chercheurs.

Pourquoi s'appelle-t-elle Strandhogg ? Cela est lié aux racines suédoises de l'entreprise.

« La vulnérabilité a été nommée par Promon « StrandHogg », un vieux terme nordique désignant la tactique viking consistant à attaquer les zones côtières pour piller et retenir les gens contre rançon », ont écrit les chercheurs.

Dans un communiqué, un porte-parole de Google a déclaré : « Nous apprécions le travail des chercheurs et avons suspendu les applications potentiellement dangereuses qu’ils ont identifiées. Google Play Protect détecte et bloque les applications malveillantes, y compris celles utilisant cette technique. Par ailleurs, nous poursuivons nos investigations afin d’améliorer la capacité de Google Play Protect à protéger les utilisateurs contre des problèmes similaires. »