网络安全研究人员在Android操作系统中发现了一个新的且未修复的漏洞，该漏洞已经被数十款恶意移动应用程序利用于窃取用户的银行和其他登录凭据，以及监视用户活动。

该漏洞名为Strandhogg，存在于Android的多任务特性中。安装在Android设备上的恶意应用程序可利用该漏洞假冒设备上的任何其他应用程序，包括任何有权限的系统应用程序。

换句话说，当用户点击某个合法应用程序的图标时，利用Strandhogg漏洞的恶意软件可拦截并劫持该任务，向用户显示虚假的界面，而不是启动该合法的应用程序。

通过诱使用户认为自己正在使用合法的应用程序，利用该漏洞的恶意应用程序可借助虚假的登录界面轻易窃取用户的凭据。

研究人员表示，该漏洞允许攻击者以高度可信的方式假冒几乎所有的应用程序。

在示例中，攻击者通过滥用某些任务状态转换条件，即taskAffinity和allowTaskReparenting，成功误导系统并启动假冒的用户界面。

当受害者在该界面中输入登录凭据时，敏感的详细信息立即就被发给攻击者。随后，攻击者可登录并控制应用程序。

除了以钓鱼的方式窃取登录凭据，在伪装成合法的应用程序时，恶意应用程序还可诱骗用户授予敏感的设备权限，进而极大地提升权限。

攻击者可以请求任何访问权限，包括SMS，照片，麦克风，和GPS，从而读取信息，查看照片，窃听，和跟踪受害者的活动。

Strandhogg漏洞是由挪威安全公司Promon的研究人员发现的，Strandhogg任务劫持攻击具有危险性，原因在于：

Ø 目标用户几乎不可能发现攻击；

Ø 它可被用于劫持设备上安装的任何应用程序的任务；

Ø 它可被用于欺诈性地请求任何设备权限；

Ø 无需root访问权限即可利用；

Ø 它对所有版本的Android都有效；

Ø 它不需要设备上的任何特殊权限。

Promon公司对一款恶意银行木马应用程序进行分析后发现该漏洞，该银行木马应用程序劫持多名捷克用户的银行账户并窃取用户的金钱。

研究人员表示，其中一些被识别的恶意应用程序也通过GooglePlay Store中多个有害的应用程序和恶意的下载器应用程序分发。

移动安全公司Lookout也分析了该恶意样本，并确切表示他们发现至少36款恶意应用程序正在活跃地利用Strandhogg漏洞。

研究人员称，这些应用程序现在已经被移除了，但是由于Google的PlayProtect安全套件，有害的应用程序不断被发布到GooglePlay Store中，并且经常未被检测到，在被发现和删除前，其中一些应用程序已经被下载了数百万次。

虽然目前没有有效可靠的方法阻止或检测任务劫持攻击，用户通过注意如下差异仍然可以发现此类攻击：

Ø 已经登录的某个应用程序在请求登录

Ø 请求权限的弹窗未包含应用程序名称

Ø 某个应用程序请求权限，但是该应用程序不应该请求该权限或不需要请求的权限

Ø 用户界面中的按钮和链接点击时无反应

Ø 返回按钮没有预期的作用

原文地址：

https://thehackernews.com/2019/12/strandhogg-android-vulnerability.html