Vulnerabilidade do StrandHogg ameaça 500 dos aplicativos mais populares do Android

No início deste mês, pesquisadores de segurança da Promon, empresa norueguesa especializada em segurança no aplicativo, descobriram uma vulnerabilidade única em dispositivos Android que permite que aplicativos mal intencionados se disfarçam de aplicativos legítimos e solicitem permissões intrusivas que lhes permitam:

• Ouvir o usuário pelo microfone;
• Tirar fotos usando a câmera;
• Fazer ou gravar conversas telefônicas;
• Credenciais de login do Phish;
• Entre outros.

Uma das ações que podem ser particularmente perigosas para usuários e empresas é a capacidade de ler e enviar mensagens SMS. Os hackers aproveitam qualquer oportunidade para monetizar uma vulnerabilidade disponível, e essa não é uma exceção. Com a maioria das instituições financeiras adotando a autenticação de dois fatores (2FA) para proteger transações, o SMS desempenha um papel fundamental, pois os usuários recebem o segundo fator de autenticação, a senha de uso único (OTP), como uma mensagem SMS. De fato, a Promon descobriu a vulnerabilidade do StrandHogg quando clientes de vários bancos na República Tcheca relataram perder dinheiro mesmo depois de se autenticarem por um segundo fator.

Agora que entendemos a gravidade dessa vulnerabilidade, vamos analisar mais detalhadamente como essa vulnerabilidade é explorada.

Quem é afetado pela vulnerabilidade StrandHogg?

Segundo a Promon, a vulnerabilidade StrandHogg afeta todas as versões do dispositivo Android até a versão mais recente, o Android 10.0, embora os recursos de coleta de permissão estejam disponíveis apenas no Android 6.0 e superior.

A Promon também conseguiu identificar 36 aplicativos maliciosos na Play Store que exploravam essa vulnerabilidade. Uma vez que um deles esteja presente em um dispositivo, ele pode se disfarçar como um dos 500 aplicativos mais populares (conforme classificado pela empresa de inteligência de aplicativos 42Matters).

Como funciona a vulnerabilidade StrandHogg?

Essa vulnerabilidade é única porque ao contrário de outras vulnerabilidades detectadas no passado, permite ataques sofisticados sem acesso root aos dispositivos. Ele usa a fraqueza nos recursos de multitarefa do Android e permite que o aplicativo mal-intencionado se disfarce como um aplicativo legítimo.

Quando o usuário clica no ícone do aplicativo legítimo, por exemplo, Facebook ou Instagram, o aplicativo malicioso substitui o aplicativo e solicita permissões que parecem naturais para o aplicativo legítimo. Isso torna desafiador para o usuário identificar que as permissões estão sendo concedidas ao aplicativo mal-intencionado, em vez do aplicativo autêntico que eles pensam estar usando.

Essa vulnerabilidade ainda pode ser aproveitada para obter detalhes confidenciais, como senhas de contas bancárias ou informações de cartão de crédito.

Como um usuário pode identificar se a vulnerabilidade do StrandHogg é explorada em seu dispositivo?

Embora não exista um método confiável para determinar se o StrandHogg é  explorado ativamente em um dispositivo, os usuários podem procurar certas discrepâncias ao acessar aplicativos em seus dispositivos. Algumas dessas mudanças comportamentais podem ajudar a diferenciar os aplicativos mal-intencionados dos aplicativos autênticos:

• Um aplicativo solicitando que o usuário efetue login, apesar de já estar conectado;
• Solicitações de permissão que não são necessárias para o funcionamento do aplicativo;
• O botão Voltar não funciona conforme o esperado;
• Aplicativos com links que não realizam nenhuma ação.

Existe uma correção disponível para a vulnerabilidade StrandHogg?

O Google confirmou que tomou medidas para solucionar a vulnerabilidade e removeu os 36 aplicativos maliciosos identificados da Google Play Store. Ele acrescentou que o pacote de segurança do Google Play Protect identifica aplicativos prejudiciais na Play Store e os remove da loja e dos dispositivos dos usuários. No entanto, a vulnerabilidade em si ainda não foi corrigida, o que significa que os hackers podem continuar adicionando aplicativos maliciosos à Play Store que aproveitam essa vulnerabilidade.

Como você pode proteger os dispositivos da sua organização contra ataques cibernéticos semelhantes?

A implantação de uma solução de gerenciamento de dispositivos móveis (MDM) é o primeiro passo para fortalecer a segurança contra ataques cibernéticos nas organizações. As soluções MDM fornecem várias configurações proativas para evitar esses ataques aos dispositivos. Veja como uma solução MDM pode ajudar:

1. Coloque aplicativos mal-intencionados na lista negra de dispositivos para garantir que esses aplicativos não sejam baixados em dispositivos corporativos.
2. Distribua aplicativos silenciosamente para dispositivos, ao mesmo tempo em que impede que os usuários instalem outros aplicativos em dispositivos de propriedade da empresa.
3. Pré-configure as permissões do aplicativo ao distribuir aplicativos para dispositivos e negue automaticamente quaisquer novas permissões solicitadas pelos aplicativos.
4. Evite ações não autorizadas em dispositivos de uso único, bloqueando-os apenas nos aplicativos necessários .
5. É obrigatório que o Google Play Protect esteja ativado nos dispositivos para garantir que os aplicativos sejam verificados regularmente quanto a malware.
6. Contenha dados corporativos em dispositivos para garantir que aplicativos pessoais não possam acessar dados corporativos.
7. Registre apenas dispositivos que atendam aos seus padrões de conformidade para impedir que dispositivos raiz e jailbroken acessem dados corporativos.
8. Automatize as atualizações do SO nos dispositivos para garantir que todos os patches de segurança sejam atualizados nos dispositivos.

O Mobile Device Manager Plus permite que as organizações automatizem todos os itens acima e muito mais, protegendo sua organização contra ataques cibernéticos.