Похищает пароль и регистрирует нажатия клавиш

Исследователи из Технологического института Джорджии и Калифорнийского университета в Санта-Барбаре выпустил отчет заявив о нескольких уязвимостях, обнаруженных в операционных системах Android Lollipop, Marshmallow и Nougat.

По словам исследователей, вредоносные приложения могут использовать два разрешения в Play Store – «рисовать сверху» и «служба доступности».

Пользователи могут быть атакованы с использованием одной из этих уязвимостей или их обоих. Злоумышленник может щелкнуть мышью, записать нажатия клавиш, украсть PIN-код безопасности устройства, вставить рекламное ПО в устройство, а также использовать токены двухфакторной аутентификации.

«Cloak & Dagger – это новый класс потенциальных атак на устройства Android. Эти атаки позволяют вредоносному приложению полностью контролировать цикл обратной связи пользовательского интерфейса и управлять устройством, не давая пользователю возможности заметить вредоносную активность », – отметили исследователи.

Эта уязвимость была обнаружена ранее

Ранее в этом месяце мы сообщали об аналогичной нефиксированной уязвимости в операционной системе Android, которая использовала разрешение «System_Alert_Window», используемое для «рисования поверх».

Ранее это разрешение – System_Alert_Window – должно было быть предоставлено пользователем вручную, но с появлением таких приложений, как Facebook Messenger и других, которые используют всплывающие окна на экране, Google предоставляет его по умолчанию.

Хотя уязвимость при использовании может привести к полноценной атаке программ-вымогателей или рекламного ПО, хакеру будет непросто начать.

Это разрешение отвечает за 74% программ-вымогателей, 57% рекламного ПО и 14% атак банковского вредоносного ПО на устройства Android.

Все приложения, которые вы загружаете из Play Store, проверяются на наличие вредоносных кодов и макросов. Таким образом, злоумышленнику придется обойти встроенную систему безопасности Google, чтобы получить доступ в магазин приложений.

Недавно Google также обновил свою мобильную операционную систему, добавив дополнительный уровень безопасности, который сканирует все приложения, которые загружаются на устройство через Play Store.

Безопасно ли сейчас использовать Android?

Вредоносные приложения, загруженные из Play Store, автоматически получают два вышеупомянутых разрешения, что позволяет злоумышленнику нанести вред вашему устройству следующими способами:

• Атака с невидимой сеткой: злоумышленник рисует на устройстве невидимую накладку, позволяя ему регистрировать нажатия клавиш.
• Кража PIN-кода устройства и работа с ним в фоновом режиме даже при выключенном экране.
• Внедрение рекламного ПО в устройство.
• Скрытое проникновение в Интернет и фишинг.

Исследователи связались с Google по поводу обнаруженных уязвимостей и подтвердили, что, хотя компания внедрила исправления, они не являются надежными.

Обновление отключает наложения, что предотвращает атаку невидимой сетки, но Clickjacking все еще возможен, поскольку эти разрешения могут быть разблокированы вредоносным приложением с помощью метода разблокировки телефона, даже когда экран выключен.

Клавиатура Google также получила обновление, которое не предотвращает регистрацию нажатий клавиш, но гарантирует, что пароли не просачиваются, так как при вводе значения в поле пароля теперь клавиатура регистрирует пароли как «точку» вместо фактического символа.

Но есть способ обойти это и злоумышленники.

«Поскольку можно перечислить виджеты и их хэш-коды, которые должны быть псевдоуникальными, хэш-кодов достаточно, чтобы определить, на какую кнопку клавиатуры на самом деле нажал пользователь», – отметили исследователи.

Все уязвимости, обнаруженные в ходе исследования, по-прежнему подвержены атакам, несмотря на то, что последняя версия Android получила исправление безопасности 5 мая.

Исследователи отправили приложение в Google Play Store, которое требовало двух вышеупомянутых разрешений и явно показывало злонамеренный намерение, но оно было одобрено и все еще доступно в Play Store. Это говорит о том, что безопасность Play Store на самом деле работает не так хорошо.

Как лучше оставаться в безопасности?

Лучше всего проверять и отключать оба этих разрешения вручную для любого ненадежного приложения, которое имеет доступ к одному или обоим из них.

Вот как вы можете проверить, какие приложения имеют доступ к этим двум «особым» разрешениям на вашем устройстве.

• Android Nougat: «рисовать сверху »- Настройки -> Приложения -> ‘Значок шестеренки (вверху справа) -> Особый доступ -> Рисовать поверх других приложений
  «a11y»: «Настройки» -> «Специальные возможности» -> «Службы»: проверьте, для каких приложений требуется a11y.
• Android Marshmallow: «Рисовать сверху» – «Настройки» -> «Приложения» -> «Символ шестеренки» (вверху справа) -> «Рисовать поверх других приложений».
  a11y: Настройки → Специальные возможности → Услуги: проверьте, для каких приложений требуется a11y.
• Android Lollipop:«Рисовать поверх» – «Настройки» -> «Приложения» -> нажмите на отдельное приложение и найдите «рисовать поверх других приложений»
  a11y: Настройки -> Специальные возможности -> Службы: проверьте, для каких приложений требуется a11y.

Google будет предоставлять дополнительные обновления безопасности для решения проблем, обнаруженных исследователями.

Хотя некоторые из этих уязвимостей будут исправлены в следующих обновлениях, проблемы, связанные с разрешением «рисовать сверху», останутся до тех пор, пока не будет выпущен Android O.

Риски безопасности в Интернете стремительно растут, и в настоящее время единственный способ защитить ваше устройство – это установить надежное антивирусное программное обеспечение и быть бдительным.