Nova falha no Android permite que o malware se mostre como uma app real e roube o utilizador

Investigadores de segurança descobriram uma grande vulnerabilidade em quase todas as versões do Android. Esta falha permite que determinado malware imite aplicações legítimas para roubar as palavras-passe das apps e outros dados sensíveis do utilizador.

A vulnerabilidade, apelidada de Strandhogg 2.0, afeta todos os dispositivos da versão Android 9.0 e anteriores. Portanto, muito provavelmente o seu smartphone Android está comprometido!

Malware que usa o seu Android para roubar, perseguir e espiar

Chamaram-lhe Strandhogg 2.0 e é o "gémeo maligno" de um bug anterior com o mesmo nome, que foi referenciado em dezembro passado. Segundo a empresa de segurança norueguesa Promon, que descobriu ambas as vulnerabilidades com seis meses de intervalo, o Strandhogg 2.0 funciona ao enganar uma vítima, para que ela pense que está digitar as suas palavras-passe numa aplicação legítima, enquanto interage com uma sobreposição maliciosa.

O Strandhogg 2.0 também pode sequestrar outras permissões da aplicação para desviar dados sensíveis dos utilizadores, como contactos, fotos e até monitorizar a localização de uma vítima em tempo real.

Segundo as investigações, esta falha é referida como mais perigosa do que a sua predecessora, porque é "quase indetetável".

Mas este malware está em atividade?

Neste esquema detetado poderá haver uma boa notícia. Conforme foi veiculado, a Promon referiu que não tem provas de que os hackers tenham usado o bug em campanhas de hacking ativo. A ressalva é que não existem "boas maneiras" de detetar um ataque.

Temendo que o bug ainda possa ser abusado pelos hackers, a Promon atrasou o lançamento de detalhes até que a Google pudesse corrigir a vulnerabilidade classificada como crítica.

A Google já reagiu e, através de um porta-voz, disse à TechCrunch que a empresa também não viu nenhuma evidência de exploração ativa.

Nós apreciamos o trabalho dos investigadores, e lançamos uma correção para o problema que eles identificaram.

A mesma fonte da Google referiu que o Google Play Protect, um serviço de triagem de aplicações integrado em dispositivos Android, bloqueia as apps que exploram a vulnerabilidade do Strandhogg 2.0.

Como ataca o Strandhogg 2.0?

O Standhogg 2.0 tira partido do sistema multitarefa do Android, que mantém o controlo de cada aplicação aberta recentemente, para que o utilizador possa alternar rapidamente entre apps.

Assim, a vítima terá de descarregar uma aplicação maliciosa, que chega disfarçada de uma app normal, e esta poderá explorar a vulnerabilidade do Strandhogg 2.0. Uma vez instalado e quando a vítima abre uma app legítima, o software malicioso rapidamente sequestra a aplicação e injeta conteúdo malicioso no seu lugar, tal como uma janela de login falsa.

Quando uma vítima insere a sua palavra-passe na falsa aplicação maliciosa sobreposta, as suas credenciais são desviadas para os servidores do hacker. Posteriormente, o utilizador irá ver que o login foi feito normalmente, como usualmente iria ver na app real.

O Strandhogg 2.0 não precisa de nenhuma permissão do Android para ser executado, mas também pode sequestrar as permissões de outras aplicações que têm acesso aos contactos, fotos e mensagens da vítima, ativando um pedido de permissões.

Se a permissão for concedida, então o malware agora tem esta permissão perigosa.

Referiu o investigador Hansen.

Uma vez que esta permissão é concedida, a app maliciosa pode carregar dados do telefone de um utilizador. O malware pode carregar conversas inteiras de mensagens de texto, permitindo que os hackers controlem mesmo o sistema de proteções de autenticação de dois fatores.

Os riscos para os utilizadores são provavelmente baixos, mas não são nulos! A Promon disse que a atualização dos dispositivos Android com as últimas atualizações de segurança irão corrigir a vulnerabilidade. Os utilizadores são aconselhados a atualizar os seus dispositivos Android o mais rápido possível.

Leia também: