Etiquetada como "StrandHogg", la vulnerabilidad descubierta por el proveedor de seguridad móvil Promon podría dar a los piratas informáticos acceso a las fotos, contactos, registros telefónicos de los usuarios y más.
Las aplicaciones de Android en Google Play Store con frecuencia han sido objeto de malware diseñado para infectar dispositivos móviles y robar información personal de los usuarios.
Luego, Google se pone en posición de limpieza para eliminar las aplicaciones maliciosas y luego repite el proceso la próxima vez que aparezcan aplicaciones fraudulentas.
La última vulnerabilidad de malware es la que afecta a todos los dispositivos Android al apuntar a aplicaciones bancarias en un intento de comprometer los datos del usuario y obtener acceso a cuentas financieras.
VER: Seguridad de dispositivos móviles: una guía para líderes empresariales (TechRepublic Premium)
Descubierto por Promon, la vulnerabilidad denominada StrandHogg permite que las aplicaciones maliciosas se hagan pasar por legítimas, brindando a los piratas informáticos acceso a fotos y mensajes SMS privados, robando credenciales de inicio de sesión, rastrea los movimientos de los usuarios, graba conversaciones telefónicas y espía a las personas a través de la cámara del teléfono y micrófono, según un Comunicado de prensa de Promon publicado el lunes.
Los investigadores de seguridad de Promon que analizaron malware real que explotó esta vulnerabilidad descubrieron que las 500 aplicaciones más populares habían estado en riesgo, afectando a todas las versiones de Android, incluido Android 10. Según la clasificación de la compañía de inteligencia de aplicaciones 42 asuntos, la lista de 100 incluye aplicaciones en su mayoría populares y generales en todos los tipos de categorías
Específicamente, el socio y la firma de seguridad de Promon, Lookout, confirmó 36 aplicaciones maliciosas que explotaron la falla. Entre ellos se encontraban variantes del troyano bancario BankBot, que se ha visto ya en 2017 y es uno de los troyanos bancarios más extendidos.
En respuesta a los hallazgos de Promon, Google eliminó las aplicaciones maliciosas identificadas de su Play Store, según un declaración enviada a BBC News y TechRepublic.
"Apreciamos el trabajo de los investigadores y hemos suspendido las aplicaciones potencialmente dañinas que identificaron", dijo Google en su comunicado. "Google Play Protect detecta y bloquea aplicaciones maliciosas, incluidas las que utilizan esta técnica. Además, continuamos investigando para mejorar la capacidad de Google Play Protect de proteger a los usuarios contra problemas similares".
En un página de resumen, Promon proporcionó detalles sobre la vulnerabilidad StrandHogg, explicando su impacto y las diferentes formas en que los hackers pueden explotarla.
Como lo describe Promon, StrandHogg permite que una aplicación maliciosa disfrazada de legítima solicite ciertos permisos, incluido el acceso a mensajes SMS, fotos, GPS y el micrófono.
Los usuarios desprevenidos aprueban las solicitudes, pensando que están otorgando permiso a una aplicación legítima y no a una fraudulenta y maliciosa. Cuando el usuario ingresa las credenciales de inicio de sesión dentro de la aplicación, esa información se envía inmediatamente al atacante, quien luego puede iniciar sesión y controlar aplicaciones sensibles.
La vulnerabilidad en sí radica en el sistema multitarea de Android, dijo el director de marketing y comunicación de Promon, Lars Lunde Birkeland. El exploit se basa en una configuración de control de Android llamada "taskAffinity", que permite que cualquier aplicación, incluidas las maliciosas, asuma libremente cualquier identidad en el sistema multitarea, dijo Birkeland.
Una muestra de malware específica analizada por Promon no estaba en Google Play, sino que se instaló a través de aplicaciones cuentagotas y descargadores hostiles disponibles en la tienda de aplicaciones móviles de Google, según Promon. Dichas aplicaciones tienen o pretenden tener las características de juegos, utilidades y otras aplicaciones populares, pero en realidad instalan aplicaciones adicionales que pueden implementar malware o robar datos de los usuarios.
"Tenemos pruebas tangibles de que los atacantes están explotando StrandHogg para robar información confidencial", dijo el director de tecnología de Promon, Tom Lysemose Hansen, en un comunicado en la página de información general. "El impacto potencial de esto podría no tener precedentes en términos de escala y la cantidad de daño causado porque la mayoría de las aplicaciones son vulnerables de forma predeterminada y todas las versiones de Android están afectadas".
Aunque Google eliminó las 36 aplicaciones explotadas, Birkeland dijo que, según el conocimiento de Promon, la vulnerabilidad en sí no se ha corregido en ninguna versión de Android, incluido Android 10. Google también trata de proteger su tienda de aplicaciones a través de su Paquete de seguridad Google Play Protect, pero las aplicaciones de cuentagotas siguen apareciendo en la tienda. A menudo se deslizan por debajo del radar, estas aplicaciones se pueden descargar millones de veces antes de que sean capturadas y eliminadas.
"Google Play generalmente se considera un refugio seguro para descargar software", dijo Birkeland. "Desafortunadamente, nada es 100% seguro, y de vez en cuando los distribuidores de malware logran introducir sus aplicaciones en Google Play".
Sam Bakken, gerente senior de marketing de productos de la compañía antifraude OneSpan, también intervino en la amenaza planteada por vulnerabilidades como StrandHogg.
"Como se puede imaginar, los delincuentes salivan sobre el potencial de monetización en las credenciales de banca móvil robadas y el acceso a contraseñas de un solo uso enviadas por SMS", dijo Bakken en un comunicado.
"Los hallazgos recientes de Promon hacen que la vulnerabilidad sea tan grave como siempre. Los consumidores y los desarrolladores de aplicaciones estuvieron expuestos a varios tipos de fraude como resultado durante cuatro años", continuó. "Además, ahora, se han identificado al menos 36 ejemplos de malware que ataca la vulnerabilidad ya en 2017, algunos son variantes del famoso troyano Bankbot. Esto demuestra que los atacantes son conscientes de la vulnerabilidad y la explotan activamente para robar credenciales bancarias y dinero ".
Ver también
Cuanto mayor sea la cuota de mercado, mayor será el objetivo, y eso significa que Android está listo para el malware. Agregue una tienda de aplicaciones sin mucha investigación y tendrá una mala situación en sus manos.
Hay muchas aplicaciones antivirus disponibles para Android, y como todo en la tienda Google Play, se requiere precaución. Las aplicaciones antivirus necesitan mucho acceso a su teléfono, así que asegúrese de confiar completamente en lo que elija instalar.
Si se pregunta en qué aplicaciones puede confiar, eche un vistazo a estas cinco y algunas de las características que las hacen únicas.
iStock / Jirsak
