L’azienda di sicurezza norvegese Promon ha scoperto una grave vulnerabilità di Android che permetterebbe di trafugare credenziali di accesso, consultare i messaggi, tracciare la posizione e altro ancora.
Tale vulnerabilità è nota come StrandHogg e riguarda tutte le versioni di Android, compresa la 10. Secondo i ricercatori che hanno fatto questa scoperta, la maggior parte delle app colpite diventa vulnerabile agli attacchi.
La vulnerabilità risiede in un problema del sistema di multitasking di Android e consentirebbe alle app dannose di sostituire le app autentiche con schermate di accesso false, che inducono gli utenti a fornire le proprie credenziali di sicurezza con l’inganno.
Le vittime potrebbero inoltre essere indotte a fornire a tali app ulteriori autorizzazioni che consentirebbero altre attività irregolari, come l’intercettazione di SMS e chiamate e l’ascolto tramite il microfono del telefono.
Assalto alla banca
Promon ha rilevato questa falla nella sicurezza analizzando alcune app che avrebbero sottratto denaro dai conti bancari. Complessivamente, 60 istituti finanziari sarebbero stati colpiti attraverso varie app che hanno sfruttato la vulnerabilità.
Tom Hansen, CTO di Promon, ha dichiarato alla BBC: “È la prima volta che riscontriamo un comportamento del genere. Con l’aumentare della complessità dei sistemi operativi diventa sempre più difficile tenere traccia di tutte le interazioni. Questo sembra uno dei casi in cui situazioni del genere si perdono a causa di tale complessità.”
Il dato preoccupante è che la maggior parte delle 500 app più popolari su Google Play sia risultata vulnerabile a questo tipo di attacco. Un’altra azienda di sicurezza partner di Promon, Lookout, ha identificato almeno 36 app dannose che sfruttano già attivamente la vulnerabilità, fra cui alcune varianti del trojan bancario BankBot, attivo dal 2017.
Promon ha pubblicato un video relativo a questa vulnerabilità:
OneSpan, azienda specializzata nella sicurezza delle app per mobile, ha riconosciuto l’importanza della scoperta. Il responsabile senior del marketing Sam Bakken ha dichiarato: “Le recenti scoperte di Promon confermano la gravità della situazione.”
Bakken ha proseguito affermando che gli hacker sfruttano questa falla già da tempo: “I clienti e gli sviluppatori di app sono stati esposti a varie tipologie di frode negli ultimi quattro anni. I responsabili degli attacchi conoscono la vulnerabilità e la sfruttano attivamente per trafugare credenziali bancarie e denaro.”
Google ha risposto alla notizia dichiarando: “Apprezziamo l’operato dei ricercatori e abbiamo sospeso le app potenzialmente dannose identificate. Inoltre, continueremo a indagare per migliorare la capacità di Google Play Protect per salvaguardare gli utenti contro problemi di questa natura.”
Promon, tuttavia, avverte che è ancora possibile creare schermate false per ingannare gli utenti in tutte le versioni di Android.
- Android 11: quando arriverà?
