Android: Nueva vulnerabilidad de StrandHogg está siendo explotada en la naturaleza


StrandHogg

Imagen: Promon, ZDNet

Investigadores de seguridad de Promon, una firma noruega especializada en protecciones de seguridad en la aplicación, dijeron que identificaron un error en el sistema operativo Android que permite que aplicaciones maliciosas secuestran aplicaciones legítimas y realizan operaciones maliciosas en su nombre.

en un reporte comprensivo publicado hoy, el equipo de investigación dijo que la vulnerabilidad se puede utilizar para engañar a los usuarios para que otorguen permisos intrusivos a aplicaciones maliciosas cuando tocan e interactúan con aplicaciones legítimas.

La vulnerabilidad, que Promon llamó StrandHogg, también se puede usar para mostrar páginas de inicio de sesión falsas (phishing) cuando se graba en una aplicación legítima.

Actualmente explotado en la naturaleza

Promon dijo que esta falla de seguridad ya ha sido explotada en la naturaleza por bandas de malware.

La compañía dijo que «identificó la vulnerabilidad StrandHogg después de que una compañía de seguridad de Europa del Este para el sector financiero (a la que Promon proporciona soporte de seguridad de aplicaciones) le informó que varios bancos en la República Checa habían informado que el dinero había desaparecido de las cuentas de los clientes».

Promon dijo que su socio de Europa del Este proporcionó una muestra para que sus investigadores la analizaran muestra dentro de la cual descubrieron la falla de seguridad de StrandHogg.

Promon dijo que luego se asoció con Lookout, una firma de seguridad móvil con sede en Estados Unidos, que confirmó la vulnerabilidad, y descubrió 36 aplicaciones que actualmente la explotaban en la naturaleza.

Promon no enumeró los nombres de las 36 aplicaciones que usaban la vulnerabilidad StrandHogg, pero sí dijo que ninguna de estas aplicaciones estaba disponible a través de la Engage in Retail outlet oficial, directamente.

Estas 36 aplicaciones se instalaron en los dispositivos de los usuarios como cargas útiles de segunda etapa, dijo Promon. Los usuarios inicialmente instalaron otras aplicaciones maliciosas de Participate in Shop, que luego descargaron las aplicaciones infectadas por StrandHogg para ataques más intrusivos.

Cómo funciona StrandHogg

Los detalles técnicos de la vulnerabilidad StrandHogg son fáciles de comprender, incluso para usuarios no técnicos.

Bajo el capó, StrandHogg es un error en la forma en que el sistema operativo Android maneja el cambio entre tareas (procesos) que manejan diferentes operaciones o aplicaciones.

Más específicamente, StrandHogg es un mistake en el componente del sistema operativo que maneja la multitarea: el mecanismo que permite que el sistema operativo Android ejecute múltiples procesos a la vez y cambie entre ellos una vez que una aplicación entra o sale de la vista (pantalla) de los usuarios.

Una aplicación maliciosa instalada en un teléfono inteligente Android puede explotar el mistake StrandHogg para activar código malicioso cuando el usuario inicia otra aplicación, a través de una función llamada «reparenting de tareas«.

Básicamente, un usuario toca una aplicación legítima, pero ejecuta código de una aplicación maliciosa. Como se puede ver en las imágenes de ejemplo a continuación, al tocar el icono de una aplicación legítima se activa el código ejecutado por la aplicación maliciosa, código que puede solicitar permiso intrusivo o mostrar páginas de phishing.

strandhogg-permission-harvesting.jpg "src =" https://zdnet2.cbsistatic.com/hub/i/2019/12/02/18aed920-bda1-46a3-815d-c070d16091ed/58b1b4eeccad79642742664491e70968/strandhogg-jpg-emisión

Imagen: Promon

strandhogg-phishing.jpg "height =" auto "width =" 470 "src =" https://zdnet1.cbsistatic.com/hub/i/r/2019/12/02/5b01c4f5-7820-47ea-98ac-ebb85c762f66 /resize/470xauto/04d87b4f5bb56c69b57196c1f2ddbc89/strandhogg-phishing.jpg

Imagen: Promon

Debido a que estas acciones ocurren después del toque del icono, el usuario creerá que los permisos o la pantalla de inicio de sesión han sido creados por la aplicación legítima, en lugar de la maliciosa, y es muy possible que interactúe con estos elementos sin que surjan sospechas.

Los investigadores dijeron que esto hace que los ataques de StrandHogg sean extremadamente imposibles de detectar por el usuario final de un dispositivo.

Promon también dijo que un ataque de StrandHogg no necesita acceso a la raíz para ejecutarse, y funciona en todas las versiones del sistema operativo Android, incluida la última versión de Android 10.

Además, los investigadores de Promon también probaron las 500 aplicaciones de Android más populares disponibles en Google Participate in Shop y descubrieron que todos los procesos de las aplicaciones pueden ser secuestrados para realizar acciones maliciosas a través de un ataque StrandHogg

El equipo de investigación dijo que notificó al proyecto de Android la vulnerabilidad en el componente multitarea durante el verano, pero los desarrolladores del sistema operativo Android no han solucionado el problema después de más de 90 días.

En 2015, un equipo de académicos de la Universidad Penn State publicó una investigación comparable, que describe un ataque teórico sobre un ataque de secuestro de tareas que podría usarse para suplantación de la interfaz de usuario, denegación de servicio o monitoreo de usuarios.

Promon dice que el ataque StrandHogg amplía enormemente los conceptos descritos en el informe técnico de Penn Point out 2015 (PDF)

La compañía noruega dijo que nombró al exploit StrandHogg después de la antigua palabra en idioma nórdico que describía la táctica vikinga de asaltar las zonas costeras para saquear y retener a las personas en busca de rescate.



Enlace a la noticia initial