Эксперты компании Palo Alto Networks рассказали о новой атаке на Android-устройства с использованием всплывающих уведомлений Toast Notification.
Принцип атаки заключается в том, чтобы заставить жертву в процессе инсталляции дать вредоносному ПО право на отображение контента поверх других приложений. Получив необходимое право, вредонос отображает всплывающие окна с просьбой подтвердить некоторые сообщения или выполнить определенные действия. На самом деле приложение просит доступ к Accessibility Service, «прикрывая» безобидными всплывающими уведомлениями кнопку «Активировать». Точно так же вредонос отображает поддельный контент поверх всплывающих сообщений, предоставляющих права администратора.
Вышеописанный способ используется злоумышленниками не менее двух лет, однако впервые был подробно описан в исследовании «Cloak & Dagger», проведенном учеными Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии. С тех пор данный тип атак так именуется – Cloak & Dagger.
Вдохновленные отчетом коллег, эксперты из Palo Alto Networks решили изучить и другие способы осуществления Cloak & Dagger. В частности, они сосредоточили свое внимание на Toast Notification – быстроисчезающих уведомлениях внизу экрана. Toast Notification очень удобны для атаки Cloak & Dagger, поскольку по своей природе отображаются поверх любого приложения и избавляют атакующих от необходимости запрашивать право на отображения одного контента поверх другого.
Теперь злоумышленникам достаточно только заставить жертву установить на свое устройство вредоносное приложение. Они могут запросить привилегии администратора для доступа к AccessibilityService, спрятав кнопку «Активировать» за уведомлением Toast Notification. Данная уязвимость, получившая название CVE-2017-0752, была исправлена во вторник, 5 сентября, с выходом плановых обновлений для Android. Проблема затрагивает все версии ОС за исключением Android 8.0 Oreo.