安卓高危漏洞让500款应用中招，还教会了银行木马“隔山打牛”

隔山打牛，是中国传说中的一种功夫，发功者可以隔着一段距离用拳掌攻击对手。由于太过经典，这种绝技几乎是各大武侠小说/剧标配。在现实生活里，甚至有不少人声称已经练就了这一手神功。

不过，若宅宅说木马也能秒会隔山打牛，你信吗？先别急着摇头，一个漏洞的利用还真的能让这等奇事出现，只不过这次被打的“牛”是银行。

BankBot银行木马（当时一款未命名银行木马的源代码出现在地下黑市，随后被整合成BankBot）自2017年出现，它的攻击目标一直是位于俄罗斯、英国、奥地利、德国和土耳其的银行。

如今这款恶意软件再度“进化”。

近日，Promon安全研究人员对外公布一个新的安卓漏洞已发现被BankBot银行木马等恶意软件利用，它会影响操作系统的所有版本（其中也包括Android 10）。

一旦被利用，它就可以使恶意应用伪装成几乎任何合法应用执行攻击，而Promon发现有500个最受欢迎的应用（按应用情报公司42 Matters排名）都容易受到StrandHogg的攻击。

StrandHogg教会App“隔山打牛”

这个最新发现被利用的漏洞名为StrandHogg。

其独特之处在于，无需根植设备即可进行复杂的攻击，并利用安卓多任务处理系统中的一个弱点实施强大的攻击，使恶意应用程序像设备上的其他任何应用程序一样进行伪装。

StrandHogg其实是OS多任务处理组件中的一个错误，这种机制使安卓操作系统可以一次运行多个进程，并在应用程序进入或退出用户视图时在它们之间切换。当用户启动另一个应用程序时，通过任务重做功能，安装在Android手机上的恶意应用程序就可以利用StrandHogg错误来触发恶意代码。

Promon称，该漏洞利用基于一个名为'taskAffinity'的安卓控制设置，该设置允许任何应用程序（包括恶意应用程序）在攻击者想要的多任务系统中自由地假定任何身份。

此外，该漏洞无需root权限即可被植入手机任意App当中。目前，BankBot银行木马已经集成了该漏洞功能，这意味着或许一款应用就可以在无声无息间清空你的个人账户（当然，如果愿意入侵一家银行也不是事儿）。

Promon称，这一发现已经在今年夏季便告知了谷歌，但至今谷歌尚未在任何版本的安卓上解决此问题，致使安卓用户直接暴露于旨在滥用它的恶意软件中。

虽然目前尚无野外利用StrandHogg的恶意应用被发现，但Promon研究人员指出，虽然这些程序已被Google从Play商店中删除，但这些恶意软件样本是通过恶意软件删除程序和下载程序分发的，其传播并不受影响。

还是黑客的趁手“兵器”

你以为StrandHogg就是教会几款App“隔山打牛”就完了？并不，实际上对于黑客来说它更是趁手兵刃。

Promon称，一旦攻击者设法利用StrandHogg的恶意软件感染设备，攻击者就可以伪装成合法应用程序来请求任何许可以提高其数据收集能力，或诱骗受害者通过屏幕覆盖图来移交银行或登录凭据等敏感信息。

由于攻击者可以访问任何安卓权限，因此他们可以执行各种数据收集操作，从而使他们能够：

通过麦克风收听用户

通过相机拍照

阅读和发送SMS消息

进行和/或记录电话对话

网络钓鱼登录凭据

访问设备上所有私人照片和文件

获取位置和GPS信息

访问联系人列表

访问电话日志

Promon首席技术官汤姆·莱塞米塞·汉森（Tom Lysemose Hansen）称，我们有明确的证据表明，攻击者正在利用StrandHogg窃取机密信息。从严重程度上来看，这种潜在的影响可能是空前的，因为默认情况下大多数应用程序都容易受到攻击，而所有安卓版本都受到影响。

暂无解决方案

根据Promon的说法，目前没有可靠的方法来检测StrandHogg是否在安卓设备上被利用，也没有办法阻止这种攻击。

尽管如此，用户可能仍会在使用智能手机时注意到各种差异。例如，手机中的应用程序会要求重新登陆账户、应用程序名称的权限弹出窗口被取消、被要求解开某些应用程序的权限设置、错别字和UI错误以及出现无法正常工作的按钮。

编译来源： bleepingcomputer

雷锋网 (公众号：雷锋网) 年度评选—— 寻找19大行业的最佳AI落地实践

创立于2017年的「AI最佳掘金案例年度榜单」，是业内首个人工智能商业案例评选活动。雷锋网从商用维度出发，寻找人工智能在各个行业的最佳落地实践。

第三届评选已正式启动，关注微信公众号“雷锋网”，回复关键词“榜单”参与报名。详情可咨询微信号：xqxq_xq

。