StrandHogg:

Nordmenn avdekket alvorlig Android-hull

Kan fange opp alt av privat informasjon på telefonen.

SIKKERHETSHULL: Det norske sikkerhetsselskapet Promon har avdekket et svært alvorlig sikkerhetshull i Android. Foto: Promon/YouTube
SIKKERHETSHULL: Det norske sikkerhetsselskapet Promon har avdekket et svært alvorlig sikkerhetshull i Android. Foto: Promon/YouTube Vis mer

Det norske sikkerhetsselskapet Promon har avdekket et alvorlig sikkerhetshull i Android, som har blitt døpt «StrandHogg».

Når en app trenger tilgang til bildene på telefonen din, SMS-meldingene, posisjonen din eller hva det måtte være, spretter det vanligvis opp en boks der du enten tillater eller nekter appen tilgang til det den spør om.

Men det viser seg at en svakhet i Android gjør at en ondsinnet app kan be om slike rettigheter i det du starter en annen app. Så når du tror du gir disse rettighetene til appen du har trykket på, gir du dem egentlig til den ondsinnede appen.

Slik fortoner det seg når StrandHogg-sikkerhetshullet utnyttes. Foto: Promon
Slik fortoner det seg når StrandHogg-sikkerhetshullet utnyttes. Foto: Promon Vis mer

Svakheten kan også utnyttes ved å vise forfalskede innloggingsskjemaer, slik at brukernavn og passord til sosiale medier, Paypal og lignende kan komme på avveie:

I det man trykker på appen, byttes den ut med en falsk innloggingsskjerm slik at brukernavn og passord gis bort til uvedkommende. Foto: Promon
I det man trykker på appen, byttes den ut med en falsk innloggingsskjerm slik at brukernavn og passord gis bort til uvedkommende. Foto: Promon Vis mer

Og med tilgang til SMS-meldingene kan man på mange tjenester også komme rundt tofaktorautentisering.

I videoen under demonstrerer Promon hvordan det hele fungerer:

Alle Android-versjoner skal være utnyttbare for denne skadevaren, men varianten med å be om rettigheter er kun tilgjengelig på Android 6.0 og oppover - på eldre Android-versjoner måtte du godkjenne rettighetene før du lastet ned appene fra Play butikk.

Kan gjøre mye skade

Her er en liste over ting som kan utnyttes via StrandHogg:

  • Lytte på brukeren via mikrofonen
  • Ta bilder med kameraet
  • Lese og sende SMS-meldinger
  • Ringe og ta opp telefonsamtaler
  • Stjele innloggingsdetaljer (brukernavn/passord)
  • Få tilgang til bilder og filer på enheten
  • Overvåke posisjon
  • Få tilgang til kontaktlisten
  • Få tilgang til anropsloggen

Penger forsvant fra bankkontoer

Sikkerhetsselskapet avdekket trusselen etter at kunder i flere tsjekkiske banker rapporterte om at penger på mystisk vis hadde forsvunnet fra bankkontoene deres.

Typisk hadde de rammede lastet ned apper som virket harmløse til å begynne med, men som etter en tid lastet ned den ondsinnede StrandHogg-koden og begynner med sitt.

36 apper

Totalt skal Promon ha funnet 36 apper som utnytter dette sikkerhetshullet, men navnene på dem er ikke gjort tilgjengelig av Promon og deres partner i dette arbeidet, Lookout.

Google hevder at de har fjernet appene fra Play butikk, og at Google Play Protect, Androids innebygde sikkerhetsfunksjon, har blitt oppdatert slik at slik aktivitet skal bli oppdaget i fremtiden. Men Promon er ikke helt overbevist:

– Så vidt vi kan se og vet, så har de ikke patchet hullet - det testet vi bare for noen dager tilbake, sier Lars Lunde Birkeland, markeds- og kommunikasjonsdirektør i Promon til Dinside.

Promon poengterer også at apper som laster ned ondsinnet kode en tid etter at de er installert ofte går under Googles radar – noe vi så tidligere i år med CamScanner, som er lastet ned over 380 millioner ganger.

Kan du oppdage det?

Det er nesten umulig å oppdage denne type skadevare, men her er et par ting å være oppmerksom på, og som vil kunne skje dersom Android-enheten din blir rammet av Strandhogg:

  • Du blir bedt om å logge på en app du allerede er logget inn på
  • Sprettoppvinduet som ber om rettigheter inneholder ikke noe app-navn
  • Rettighetene det bes om er unaturlig for appen, for eksempel hvis en kalkulator-app ber om posisjonen din