安卓高危漏洞让500款应用中招，还教会了银行木马“隔山打牛”

隔山打牛，是中国传说中的一种功夫，发功者可以隔着一段距离用拳掌攻击对手。由于太过经典，这种绝技几乎是各大武侠小说/剧标配。在现实生活里，甚至有不少人声称已经练就了这一手神功。

不过，若宅宅说木马也能秒会隔山打牛，你信吗？先别急着摇头，一个漏洞的利用还真的能让这等奇事出现，只不过这次被打的“牛”是银行。

BankBot银行木马（当时一款未命名银行木马的源代码出现在地下黑市，随后被整合成BankBot）自2017年出现，它的攻击目标一直是位于俄罗斯、英国、奥地利、德国和土耳其的银行。

如今这款恶意软件再度“进化”。

近日，Promon安全研究人员对外公布一个新的安卓漏洞已发现被BankBot银行木马等恶意软件利用，它会影响操作系统的所有版本（其中也包括Android 10）。

一旦被利用，它就可以使恶意应用伪装成几乎任何合法应用执行攻击，而Promon发现有500个最受欢迎的应用（按应用情报公司42 Matters排名）都容易受到StrandHogg的攻击。

StrandHogg教会App“隔山打牛”

这个最新发现被利用的漏洞名为StrandHogg。

其独特之处在于，无需根植设备即可进行复杂的攻击，并利用安卓多任务处理系统中的一个弱点实施强大的攻击，使恶意应用程序像设备上的其他任何应用程序一样进行伪装。

StrandHogg其实是OS多任务处理组件中的一个错误，这种机制使安卓操作系统可以一次运行多个进程，并在应用程序进入或退出用户视图时在它们之间切换。当用户启动另一个应用程序时，通过任务重做功能，安装在Android手机上的恶意应用程序就可以利用StrandHogg错误来触发恶意代码。

Promon称，该漏洞利用基于一个名为'taskAffinity'的安卓控制设置，该设置允许任何应用程序（包括恶意应用程序）在攻击者想要的多任务系统中自由地假定任何身份。

此外，该漏洞无需root权限即可被植入手机任意App当中。目前，BankBot银行木马已经集成了该漏洞功能，这意味着或许一款应用就可以在无声无息间清空你的个人账户（当然，如果愿意入侵一家银行也不是事儿）。

Promon称，这一发现已经在今年夏季便告知了谷歌，但至今谷歌尚未在任何版本的安卓上解决此问题，致使安卓用户直接暴露于旨在滥用它的恶意软件中。

虽然目前尚无野外利用StrandHogg的恶意应用被发现，但Promon研究人员指出，虽然这些程序已被Google从Play商店中删除，但这些恶意软件样本是通过恶意软件删除程序和下载程序分发的，其传播并不受影响。

还是黑客的趁手“兵器”

你以为StrandHogg就是教会几款App“隔山打牛”就完了？并不，实际上对于黑客来说它更是趁手兵刃。

Promon称，一旦攻击者设法利用StrandHogg的恶意软件感染设备，攻击者就可以伪装成合法应用程序来请求任何许可以提高其数据收集能力，或诱骗受害者通过屏幕覆盖图来移交银行或登录凭据等敏感信息。

由于攻击者可以访问任何安卓权限，因此他们可以执行各种数据收集操作，从而使他们能够：

通过麦克风收听用户通过相机拍照阅读和发送SMS消息进行和/或记录电话对话网络钓鱼登录凭据访问设备上所有私人照片和文件获取位置和GPS信息访问联系人列表访问电话日志

Promon首席技术官汤姆