Уязвимость в миллионах полностью обновлённых Android-устройствах активно используется вредоносными приложениями, созданными для опустошения банковских счетов пользователей. Она позволяет вредоносным программам выдавать себя за обычные приложения, сообщают специалисты из компании Promon. Под видом уже установленных на устройство доверенных программ вредоносное приложение может получать разрешения на различные действия, вроде записи аудио и видео, съёмки фотографий, чтение текстовых сообщений и получение логинов и паролей.

Исследователи из компании Lookout на прошлой неделе сообщили, что нашли 36 приложений с применением уязвимости спуфинга. Эти приложения включают в себя разновидность банковского трояна BankBot. Этот троян известен с 2017 года и регулярно обнаруживается в магазине приложений Google Play Store.

Уязвимость наиболее сёрьезна на версиях Android от 6 до 10, то есть на 80% активных сейчас Android-смартфонов. На этих системах вредоносные приложения могут запрашивать неограниченные разрешения под видом приличных программ. Они получают доступ к текстовым сообщениям, фотографиям, микрофону, камерам и GPS.

Уязвимость найдена в функции под названием TaskAffinity. Она позволяет приложениям определять идентичность других приложений и задач в многозадачном окружении. При помощи функции Intent.FLAG_ACTIVITY_NEW_TASK вредоносная активность запускается поверх уже запущенной задачи, что позволяет хорошо скрывать свою деятельность.

Google уже убрала эти вредоносные приложения из магазина, но уязвимость остаётся незакрытой во всех версиях Android. Названия приложений не были названы.

Уязвимость StrandHogg наибольшую угрозу представляет для неопытных пользователей, которые могут давать разрешения всем приложениям подряд. Более опытные пользователи могут увидеть следующие подозрительные действия:

• Приложение или сервис просит войти в учётную запись, хотя вы уже вошли.
• Возникают окна с запросом разрешения, где нет названия приложения.
• Разрешения запрашивают те приложения, которые не должны или которым разрешения для работы не нужны. Например, калькулятор просит разрешение на доступ к GPS.
• Ошибки и опечатки в пользовательском интерфейсе.
• При нажатии на кнопки и ссылки в пользовательском интерфейсе ничего не происходит.
• Кнопка «Назад» не работает как положено.

Исследователи из Promon рассказали, что сумели обнаружить StrandHogg благодаря одной западноевропейской компании из сферы информационной безопасности. Она узнала, что несколько банков в Чехии сообщили о пропаже денег со счетов клиентов. Получив образец вредоносного кода, специалисты Promon смогли обнаружить эту уязвимость. Клиенты какого количества финансовых учреждений пострадали, не сообщается.