這(zhe)個最新發現被利用的漏洞名(ming)為StrandHogg。

其獨特之處(chu)在于(yu)，無需(xu)根(gen)植設(she)備即可進行復雜的攻(gong)擊，并利用(yong)安卓(zhuo)多(duo)任(ren)(ren)務處(chu)理(li)系統中(zhong)的一個弱點實施強大的攻(gong)擊，使惡意應用(yong)程(cheng)序像設(she)備上的其他(ta)任(ren)(ren)何應用(yong)程(cheng)序一樣進行偽裝。

StrandHogg其實(shi)是OS多任(ren)務(wu)處理組件中(zhong)的一(yi)(yi)個(ge)(ge)錯(cuo)誤，這種機制(zhi)使(shi)安(an)卓操作系(xi)統可(ke)以(yi)(yi)一(yi)(yi)次運行(xing)多個(ge)(ge)進程，并在應(ying)用(yong)程序(xu)進入或退(tui)出用(yong)戶視圖時(shi)在它們之間切換。當用(yong)戶啟動另一(yi)(yi)個(ge)(ge)應(ying)用(yong)程序(xu)時(shi)，通過任(ren)務(wu)重(zhong)做功能(neng)，安(an)裝在Android手機上的惡意應(ying)用(yong)程序(xu)就可(ke)以(yi)(yi)利用(yong)StrandHogg錯(cuo)誤來(lai)觸發(fa)惡意代碼(ma)。

Promon稱，該(gai)漏洞(dong)利用(yong)基于(yu)一個名為'taskAffinity'的(de)安卓控制設置，該(gai)設置允許(xu)任(ren)何應用(yong)程序（包括惡意應用(yong)程序）在攻擊者(zhe)想要(yao)的(de)多任(ren)務系統中自由地假定任(ren)何身份。

此外，該漏洞(dong)無(wu)需root權限(xian)即可(ke)被植(zhi)入手機任意(yi)App當中。目前，BankBot銀行木馬(ma)已經(jing)集成了該漏洞(dong)功能(neng)，這意(yi)味著(zhu)或許一款(kuan)應用就可(ke)以在無(wu)聲(sheng)無(wu)息間清空你的(de)個人(ren)賬戶。

Promon稱，這一發現(xian)已經在2019年夏季(ji)便告知了谷歌，但至今谷歌尚未在任何版本的(de)安卓(zhuo)上解決此問(wen)題，致使安卓(zhuo)用戶直接暴露于旨在濫用它的(de)惡意(yi)軟(ruan)件中。

雖(sui)然目(mu)前尚無野外(wai)利用(yong)StrandHogg的惡意應用(yong)被發現，但Promon研究人(ren)員(yuan)指出，雖(sui)然這些程序(xu)已被Google從Play商店中刪除，但這些惡意軟(ruan)件樣(yang)本是通過惡意軟(ruan)件刪除程序(xu)和下(xia)載程序(xu)分發的，其傳(chuan)播并不受影響。

Promon稱，一旦攻擊(ji)者(zhe)設(she)法利用StrandHogg的惡意軟件感染設(she)備，攻擊(ji)者(zhe)就可以(yi)偽(wei)裝(zhuang)成合法應用程序(xu)來(lai)請求任何許可以(yi)提(ti)高其數據收集能力，或誘騙(pian)受(shou)害者(zhe)通(tong)過屏幕覆蓋圖來(lai)移交銀行或登錄憑據等敏(min)感信息(xi)。

由于攻擊者(zhe)可(ke)以訪問任何安卓權限，因此他們可(ke)以執行各種(zhong)數據收集操作，從(cong)而使(shi)他們能夠：通過麥克風收聽(ting)用戶通過相機(ji)拍照(zhao)閱(yue)讀(du)和發(fa)送SMS消息(xi)進行和/或記(ji)錄電(dian)(dian)話(hua)對話(hua)網絡釣魚登錄憑據訪問設備上所有(you)私人(ren)(ren)照(zhao)片和文件獲取位置(zhi)和GPS信(xin)息(xi)訪問聯系人(ren)(ren)列表訪問電(dian)(dian)話(hua)日志

Promon首席技術官湯姆(mu)·萊塞(sai)米塞(sai)·漢森（Tom Lysemose Hansen）稱，我們(men)有明確的證據表明，攻擊者(zhe)正在(zai)利用StrandHogg竊取機密信息。從嚴重程度上來(lai)看，這(zhe)種潛在(zai)的影(ying)響可能是(shi)空前的，因為默認情況下大多數應用程序都(dou)容易受到(dao)攻擊，而(er)所有安卓版本(ben)都(dou)受到(dao)影(ying)響。

根(gen)據Promon的說法(fa)，目(mu)前沒(mei)有可靠的方法(fa)來(lai)檢測StrandHogg是(shi)否(fou)在安(an)卓設備(bei)上被利用，也沒(mei)有辦法(fa)阻止這種攻擊。

盡管如(ru)(ru)此，用戶(hu)可能(neng)仍會在使用智能(neng)手機時(shi)注意到各(ge)種(zhong)差異。例(li)如(ru)(ru)，手機中的應用程(cheng)序會要求重新(xin)登陸賬戶(hu)、應用程(cheng)序名(ming)稱(cheng)的權限彈出(chu)窗口(kou)被(bei)取(qu)消、被(bei)要求解開某些應用程(cheng)序的權限設置、錯(cuo)別字和UI錯(cuo)誤(wu)以及出(chu)現無法正常工作的按(an)鈕。