Una vulnerabilidad recientemente descubierta en el sistema operativo Android podría permitir a los atacantes abusar de aplicaciones legítimas para entregar malware. Al hacerlo, podrían rastrear a los usuarios sin su conocimiento.
Investigadores de la compañía noruega de seguridad de aplicaciones Promon denominaron el mistake «StrandHogg», un antiguo término nórdico para una táctica de asalto costero vikingo. Un atacante exitoso podría aprovechar la vulnerabilidad para hacerse cargo de una aplicación legítima y ejecutar procesos maliciosos sin el conocimiento del usuario. StrandHogg ya ha sido explotado en la naturaleza, no necesita acceso de root para ejecutarse y afecta a todas las versiones de Android, incluido Android 10, lanzado en septiembre.
Si tiene éxito, la vulnerabilidad podría otorgar a los atacantes acceso a conversaciones privadas de SMS, fotos y credenciales de inicio de sesión. Podrían rastrear los movimientos de una víctima, hacer y / o grabar llamadas telefónicas y espiar a través de la cámara y el micrófono del teléfono inteligente, informan los expertos.
Los investigadores de Promon encontraron a StrandHogg cuando su cliente, una empresa de seguridad de Europa del Este, notó una tendencia de desvío de dinero de las cuentas en los bancos checos. Ellos rastrearon la raíz del problema hasta StrandHogg, una vulnerabilidad que puede explotarse para engañar a los usuarios de Android para que piensen que están usando una aplicación legítima mientras interactúan con la superposición de una maliciosa.
Los investigadores se asociaron con la firma de seguridad estadounidense Lookout, que confirmó que 36 aplicaciones maliciosas están explotando StrandHogg. Todas las 500 aplicaciones de Android más populares corren el riesgo de que sus procesos sean abusados por la vulnerabilidad. El CTO de Promon, Tom Lysemose Hansen, dice que el mistake ha sido objeto de análisis durante la primavera y el verano, aunque las aplicaciones maliciosas podrían haber estado explotando la falla mucho antes.
Los investigadores determinaron que 60 empresas financieras separadas están siendo atacadas con aplicaciones diseñadas para explotar esta vulnerabilidad. Entre las 36 aplicaciones maliciosas que explotan StrandHogg se encuentran variantes del troyano bancario BankBot, que se ha visto en ataques en todo el mundo desde 2017.
Cómo funciona
StrandHogg existe en el sistema operativo Android, específicamente en la forma en que cambia de un proceso a otro para diferentes aplicaciones. La debilidad está en el sistema multitarea de Android, o su capacidad para ejecutar varias aplicaciones al mismo tiempo y cambiar de una aplicación a otra en la pantalla. La tarea de configuración de handle de AndroidAffinity permite que cualquier aplicación, incluso maliciosa, adopte cualquier identidad en el sistema multitarea.
Como resultado, las aplicaciones maliciosas pueden solicitar cualquier permiso mientras fingen ser legítimas. Se podría diseñar un ataque para solicitar permisos que parecen naturales para las aplicaciones específicas. Al hacer esto, los adversarios podrían reducir la posibilidad de que las víctimas se den cuenta de que algo está mal. Los usuarios no tienen indicios de que están otorgando permiso a una aplicación maliciosa y no a la auténtica.
«Si quería obtener diferentes permisos, digamos que quiere tener acceso a SMS y no tiene ese permiso cuando se descarga, entonces, por ejemplo, puede esperar hasta que el usuario last haga clic en la aplicación de SMS y, en ese momento, tome el command, pedirle al usuario que otorgue permisos, y cuando el usuario ultimate hace clic en la aplicación, proporciona esos permisos «, dice Hansen. «El usuario last creería que le dio (permisos) a la aplicación de SMS, pero (él) realmente se lo dio a la aplicación de malware».
Las aplicaciones maliciosas que explotan StrandHogg no provienen directamente de Google Engage in. Las víctimas tienen que descargar primero la aplicación legítima, que sirve como cuentagotas para descargar malware en el futuro, explica Hansen. Cuando el usuario toca el ícono de una aplicación legítima, la interfaz de una aplicación maliciosa aparece en la pantalla para solicitar permisos o credenciales, continúa.
«Con solo mirar la primera aplicación, puede ser muy, muy difícil ver que algo está mal», agrega Hansen.
El malware analizado por Promon se instaló a través de varias aplicaciones de cuentagotas y descargadores hostiles distribuidos en Google Enjoy, explican los investigadores en un entrada en el blog site en sus hallazgos. Si bien estas aplicaciones se han eliminado, las aplicaciones de cuentagotas continúan publicándose y, a menudo, pasan desapercibidas, generando millones de descargas antes de que sean detectadas y eliminadas.
Promon informó el error a Google durante el verano. Si bien las aplicaciones afectadas se han eliminado, el StrandHogg aún no se ha reparado para ninguna versión de Android, dicen los investigadores. Después de 90 días, el problema aún no se había abordado.
«Apreciamos el trabajo de los investigadores y hemos suspendido las aplicaciones potencialmente dañinas que identificaron», dijo un portavoz de Google en respuesta. «Google Play Secure detecta y bloquea aplicaciones maliciosas, incluidas las que utilizan esta técnica. Además, continuamos investigando para mejorar la capacidad de Google Play Protect de proteger a los usuarios contra problemas similares».
Contenido relacionado:
Kelly Sheridan es la Editora de personalized de Darkish Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Coverage & Technology, donde cubrió asuntos financieros … Ver biografía completa
Más tips
