Експерти компанії Palo Alto Networks розповіли про нову атаку на Android-пристрої з використанням спливаючих повідомлень Toast Notification. Більшість найпопулярніших за останні кілька років мобільних шкідливий використовували її для отримання повного контролю над атакується пристроєм.

Принцип атаки полягає в тому, щоб змусити жертву в процесі інсталяції дати шкідливому ПО право на відображення контенту поверх інших додатків. Отримавши необхідне право, шкідливий відображає спливаючі вікна з проханням підтвердити деякі повідомлення або виконати певні дії. Насправді додаток просить доступ до Accessibility Service, «прикриваючи» нешкідливими спливаючими повідомленнями кнопку «Активувати». Точно так же шкідливий відображає підроблений контент поверх спливаючих повідомлень, які надають права адміністратора.

Вищеописаний спосіб використовується зловмисниками не менше двох років, проте вперше був детально описаний в дослідженні «Cloak & Dagger», проведеному вченими Каліфорнійського університету в Санта-Барбарі і Технологічного інституту Джорджії. З тих пір цей тип атак так і називається - Cloak & Dagger.

Натхненні звітом колег, експерти з Palo Alto Networks вирішили вивчити і інші способи здійснення Cloak & Dagger. Зокрема, вони зосередили свою увагу на Toast Notification - бистроісчезающій повідомленнях внизу екрана. Toast Notification дуже зручні для атаки Cloak & Dagger, оскільки за своєю природою відображаються поверх усіх програм і позбавляють атакуючих від необхідності запитувати право на відображення одного контенту поверх іншого.

Тепер зловмисникам досить тільки змусити жертву встановити на свій пристрій шкідливий додаток. Вони можуть запросити привілеї адміністратора для доступу до AccessibilityService, сховавши кнопку «Активувати» за повідомленням Toast Notification.

Дана уразливість, яка отримала назву CVE-2017-0752, була виправлена ??у вівторок, 5 вересня, з виходом планових оновлень для Android. Проблема зачіпає всі версії ОС за винятком Android 8. 0 Oreo.