Uma vulnerabilidade crítica no Android, conhecida como StrandHogg 2.0, foi descoberta recentemente e pode permitir que apps maliciosos sequestrem apps legítimos para roubar informações confidenciais dos usuários, solicitando a inserção de dados de acesso ou outras informações no lugar deles.
Trata-se de uma vulnerabilidade (CVE-2020-0096) de escalação de privilégios que afeta todos os dispositivos que são processados com o Android versão 9.0 (ou anteriores) e pode ser explorada por um atacante sem a necessidade de obter acesso root. Caso a exploração da vulnerabilidade ocorra, um atacante pode executar várias ações maliciosas no dispositivo da vítima, como ouvir através do microfone, tirar fotos através da câmera, ler e enviar mensagens SMS, realizar ligações telefônicas e/ou gravar conversas, roubar dados de acesso, acessar arquivos armazenados no dispositivo, obter informações de localização, acessar a lista de contatos e códigos de acesso ao telefone.
A descoberta dessa vulnerabilidade foi feita pela empresa Promon, que também descobriu em 2019 a versão 1.0 dessa falha (ainda sem patch) que conta com características semelhantes e que foi explorada pelo trojan bancário BankBot.
No caso da primeira versão do StrandHogg, a vulnerabilidade usava o recurso taskAffinity para controlar um aplicativo por vez no dispositivo da vítima e substituir o app legítimo por uma versão falsa. No caso do StrandHogg 2.0, a vulnerabilidade usa outro recurso e permite que códigos maliciosos se aproveitem dessa falha para poder interceptar dinamicamente a atividade realizada pelo usuário ao pressionar o ícone de qualquer aplicativo para assumir o controle dessa ação e, assim, conseguir implantar uma versão falsa de praticamente qualquer aplicativo no dispositivo da vítima.
Além disso, assim como os pesquisadores explicaram, um código malicioso que se aproveita dessa falha dificilmente será detectado por uma solução de segurança, sendo uma ameaça bastante perigosa para os usuários. Além disso, quase 90% dos usuários do Android executam a versão 9.0 (ou anteriores) nos dispositivos, o que significa que existem muitos dispositivos que, se não tiverem o patch correspondente instalado, estarão expostos a essa vulnerabilidade.
Quanto ao patch que corrige essa falha, depois que a vulnerabilidade foi relatada à Google em dezembro de 2019, a empresa informou no início de maio que começou a lançar um patch para o bug.
Embora seja difícil detectar esse tipo de ataque, alguns comportamentos suspeitos podem servir como alerta: a solicitação de dados de acesso por um app que já estava conectado, o aparecimento de pop-ups que não contêm o nome do aplicativo, a solicitação de permissões desnecessárias, considerando os recursos do aplicativo que está sendo aberto, o surgimento de botões ou links que aparecem na interface do aplicativo que não realizam qualquer tipo de ação depois de pressionados, ou que o botão para “voltar” não esteja funcionando.
