Investigadores de segurança descobriram uma grande vulnerabilidade em quase todas as versões do Android. Esta falha permite que determinado malware imite aplicações legítimas para roubar as palavras-passe das apps e outros dados sensíveis do utilizador.
A vulnerabilidade, apelidada de Strandhogg 2.0, afeta todos os dispositivos da versão Android 9.0 e anteriores. Portanto, muito provavelmente o seu smartphone Android está comprometido!
Malware que usa o seu Android para roubar, perseguir e espiar
Chamaram-lhe Strandhogg 2.0 e é o “gémeo maligno” de um bug anterior com o mesmo nome, que foi referenciado em dezembro passado. Segundo a empresa de segurança norueguesa Promon, que descobriu ambas as vulnerabilidades com seis meses de intervalo, o Strandhogg 2.0 funciona ao enganar uma vítima, para que ela pense que está digitar as suas palavras-passe numa aplicação legítima, enquanto interage com uma sobreposição maliciosa.
O Strandhogg 2.0 também pode sequestrar outras permissões da aplicação para desviar dados sensíveis dos utilizadores, como contactos, fotos e até monitorizar a localização de uma vítima em tempo real.
Segundo as investigações, esta falha é referida como mais perigosa do que a sua predecessora, porque é “quase indetetável”.
Mas este malware está em atividade?
Neste esquema detetado poderá haver uma boa notícia. Conforme foi veiculado, a Promon referiu que não tem provas de que os hackers tenham usado o bug em campanhas de hacking ativo. A ressalva é que não existem “boas maneiras” de detetar um ataque.
Temendo que o bug ainda possa ser abusado pelos hackers, a Promon atrasou o lançamento de detalhes até que a Google pudesse corrigir a vulnerabilidade classificada como crítica.
A Google já reagiu e, através de um porta-voz, disse à TechCrunch que a empresa também não viu nenhuma evidência de exploração ativa.
Nós apreciamos o trabalho dos investigadores, e lançamos uma correção para o problema que eles identificaram.
A mesma fonte da Google referiu que o Google Play Protect, um serviço de triagem de aplicações integrado em dispositivos Android, bloqueia as apps que exploram a vulnerabilidade do Strandhogg 2.0.
Como ataca o Strandhogg 2.0?
O Standhogg 2.0 tira partido do sistema multitarefa do Android, que mantém o controlo de cada aplicação aberta recentemente, para que o utilizador possa alternar rapidamente entre apps.
Assim, a vítima terá de descarregar uma aplicação maliciosa, que chega disfarçada de uma app normal, e esta poderá explorar a vulnerabilidade do Strandhogg 2.0. Uma vez instalado e quando a vítima abre uma app legítima, o software malicioso rapidamente sequestra a aplicação e injeta conteúdo malicioso no seu lugar, tal como uma janela de login falsa.
Quando uma vítima insere a sua palavra-passe na falsa aplicação maliciosa sobreposta, as suas credenciais são desviadas para os servidores do hacker. Posteriormente, o utilizador irá ver que o login foi feito normalmente, como usualmente iria ver na app real.
O Strandhogg 2.0 não precisa de nenhuma permissão do Android para ser executado, mas também pode sequestrar as permissões de outras aplicações que têm acesso aos contactos, fotos e mensagens da vítima, ativando um pedido de permissões.
Se a permissão for concedida, então o malware agora tem esta permissão perigosa.
Referiu o investigador Hansen.
Uma vez que esta permissão é concedida, a app maliciosa pode carregar dados do telefone de um utilizador. O malware pode carregar conversas inteiras de mensagens de texto, permitindo que os hackers controlem mesmo o sistema de proteções de autenticação de dois fatores.
Os riscos para os utilizadores são provavelmente baixos, mas não são nulos! A Promon disse que a atualização dos dispositivos Android com as últimas atualizações de segurança irão corrigir a vulnerabilidade. Os utilizadores são aconselhados a atualizar os seus dispositivos Android o mais rápido possível.