這個最新發現(xian)被利用的漏洞名為StrandHogg。

其獨特(te)之處在(zai)于，無需根植設備即可進(jin)行復雜(za)的攻擊(ji)，并(bing)利用安卓多任務處理系統(tong)中的一個弱(ruo)點實施強(qiang)大(da)的攻擊(ji)，使惡意應用程序像(xiang)設備上(shang)的其他(ta)任何應用程序一樣進(jin)行偽裝。

StrandHogg其(qi)實是OS多(duo)任務處理組(zu)件中(zhong)的一個(ge)錯(cuo)誤(wu)，這種機(ji)制(zhi)使安卓操(cao)作系統可以一次運行多(duo)個(ge)進程(cheng)(cheng)，并在應用程(cheng)(cheng)序(xu)(xu)進入(ru)或退出用戶視圖時在它們之間切換。當用戶啟動另一個(ge)應用程(cheng)(cheng)序(xu)(xu)時，通過任務重做(zuo)功能，安裝(zhuang)在Android手(shou)機(ji)上(shang)的惡意應用程(cheng)(cheng)序(xu)(xu)就(jiu)可以利用StrandHogg錯(cuo)誤(wu)來觸發惡意代(dai)碼(ma)。

Promon稱，該漏洞利用基于(yu)一個名為(wei)'taskAffinity'的(de)安卓控(kong)制設置，該設置允(yun)許(xu)任(ren)何應用程序(xu)（包(bao)括惡意應用程序(xu)）在攻擊者想(xiang)要的(de)多任(ren)務系統中(zhong)自由地假定任(ren)何身(shen)份。

此外(wai)，該漏洞無(wu)需root權限(xian)即可被植入手機任(ren)意App當中(zhong)。目前(qian)，BankBot銀(yin)行(xing)木馬已經集成了該漏洞功(gong)能，這意味著或(huo)許一款(kuan)應用就可以在(zai)無(wu)聲無(wu)息(xi)間清空你的(de)個人賬戶。

Promon稱，這(zhe)一發現(xian)已經在(zai)(zai)2019年夏季便告(gao)知了谷(gu)歌，但至今谷(gu)歌尚未(wei)在(zai)(zai)任何版本的(de)安(an)卓(zhuo)上(shang)解(jie)決此(ci)問題，致使(shi)安(an)卓(zhuo)用(yong)戶直接(jie)暴(bao)露于(yu)旨在(zai)(zai)濫用(yong)它(ta)的(de)惡(e)意軟(ruan)件中。

雖(sui)然(ran)目前尚無野外(wai)利用StrandHogg的惡意應用被(bei)發(fa)(fa)現，但Promon研究人員指出，雖(sui)然(ran)這(zhe)些(xie)程序已被(bei)Google從Play商(shang)店(dian)中刪除，但這(zhe)些(xie)惡意軟件樣(yang)本是通(tong)過惡意軟件刪除程序和下載程序分(fen)發(fa)(fa)的，其傳播并不受影響。

Promon稱，一(yi)旦攻擊(ji)者設(she)法(fa)利用StrandHogg的惡意(yi)軟件感染設(she)備(bei)，攻擊(ji)者就可以偽裝成合(he)法(fa)應用程序來(lai)請求(qiu)任何(he)許可以提高(gao)其數據(ju)收(shou)集能(neng)力，或誘騙(pian)受害者通過屏幕(mu)覆蓋圖來(lai)移交銀行或登(deng)錄憑據(ju)等(deng)敏感信息。

由于攻(gong)擊(ji)者可以訪(fang)(fang)問(wen)任何安卓權限，因(yin)此他們可以執行各種數(shu)據收集操作，從而使他們能夠：通過麥克風(feng)收聽(ting)用(yong)戶通過相機(ji)拍照(zhao)閱讀和(he)發送SMS消息進(jin)行和(he)/或記錄(lu)電話對話網絡釣魚登錄(lu)憑據訪(fang)(fang)問(wen)設備上(shang)所(suo)有私(si)人照(zhao)片和(he)文(wen)件獲取(qu)位置和(he)GPS信(xin)息訪(fang)(fang)問(wen)聯系人列表訪(fang)(fang)問(wen)電話日(ri)志

Promon首(shou)席技(ji)術官湯(tang)姆(mu)·萊塞(sai)米塞(sai)·漢森（Tom Lysemose Hansen）稱，我(wo)們有明確的(de)證據表(biao)明，攻擊者正(zheng)在利用StrandHogg竊取機密信息。從(cong)嚴重程(cheng)度上(shang)來看(kan)，這種潛在的(de)影響可能是空前的(de)，因為(wei)默認情況下大多(duo)數應用程(cheng)序都(dou)容(rong)易(yi)受到攻擊，而(er)所有安卓版本都(dou)受到影響。

根據Promon的說法(fa)(fa)，目前沒有(you)(you)可靠的方(fang)法(fa)(fa)來(lai)檢測StrandHogg是否(fou)在安卓設備(bei)上(shang)被利用，也沒有(you)(you)辦法(fa)(fa)阻止這種(zhong)攻擊(ji)。

盡管如此，用(yong)戶可能(neng)仍(reng)會(hui)在使用(yong)智能(neng)手機時(shi)注意到各(ge)種差(cha)異(yi)。例如，手機中的(de)應(ying)用(yong)程(cheng)序(xu)(xu)會(hui)要求重新登(deng)陸賬(zhang)戶、應(ying)用(yong)程(cheng)序(xu)(xu)名稱的(de)權限彈出窗口被取消、被要求解開(kai)某(mou)些應(ying)用(yong)程(cheng)序(xu)(xu)的(de)權限設置(zhi)、錯別字和UI錯誤以(yi)及出現無法正常工作的(de)按鈕。