StrandHogg 2. arise como &#39Evil Twin&#39 ante la amenaza de Android


La vulnerabilidad, que existe en casi todas las versiones de Android, es más peligrosa y más difícil de detectar que su predecesora.

Los investigadores informan que una vulnerabilidad de Android recientemente descubierta podría permitir a los atacantes acceder a la mayoría de las aplicaciones en un dispositivo objetivo si son explotadas. StrandHogg 2., que afecta a la mayoría de las versiones de Android, permite que las aplicaciones maliciosas se hagan pasar por aplicaciones legítimas mientras se esconden de las víctimas.

Los investigadores de Promon mencionaron la vulnerabilidad por sus similitudes con StrandHogg, una falla que la misma organización encontró a fines de 2019. StrandHogg, llamado así por un antiguo término nórdico para una táctica de asalto costero vikingo, podría permitir a los atacantes abusar de aplicaciones legítimas para entregar malware para que puedan rastrear a los usuarios sin su conocimiento. En el momento en que se reveló, la falla había sido explotada en la naturaleza y afectó a todas las versiones de Android hasta Android 10.

StrandHogg 2. no afecta a los dispositivos con Android 10, aunque los investigadores señalan que muchos todavía ejecutan versiones anteriores. Citan datos de Google que muestran que a partir de abril de 2020, el 91.8% de los usuarios de Android tienen la versión 9. o anterior: Pie (2018), Oreo (2017), Nougat (2016), Marshmallow (2015), Lollipop (2014), Package Kat (2013), Jellybean (2012) y Ice Product Sandwich (2011).

Los investigadores no han visto ningún malware utilizando StrandHogg 2. en la naturaleza. Sin embargo, llaman a este defecto el «gemelo malvado» de su predecesor porque permite ataques más amplios, es más difícil de detectar y permite a los atacantes aprovechar casi cualquier aplicación en un teléfono inteligente objetivo. Creen que los operadores de StrandHogg aprendieron y posteriormente desarrollaron sus tácticas.

La primera iteración de StrandHogg explotó la configuración de manage de Android TaskAffinity. Esta falla aprovecha la función multitarea de Android y deja punteros trazables. La segunda versión united states una técnica que hace que esta amenaza sea más difícil de detectar para las víctimas.

StrandHogg 2. se ejecuta a través de la reflexión, explica el investigador John Høegh-Omdal en una publicación de site sobre el descubrimiento. Esto significa que las aplicaciones maliciosas pueden asumir identidades de aplicaciones legítimas mientras permanecen ocultas. Una vez que se descarga la aplicación de un atacante, puede usar StrandHogg 2. para acceder a mensajes de texto y fotos, robar credenciales de inicio de sesión, rastrear movimientos de GPS, hacer y grabar llamadas telefónicas y / o espiar a través de la cámara o el micrófono.

El ataque comienza cuando una víctima hace clic en el ícono de una aplicación legítima. Pero en lugar de ver la aplicación legítima, se muestra el malware y puede solicitar permisos bajo el disfraz de software program legítimo. También puede aparecer como una página de inicio de sesión maliciosa. La víctima, sin saberlo, otorga permiso o envía datos al atacante, quien luego es redirigido a la aplicación legítima. Con este nivel de acceso, un intruso puede proceder a cargar datos desde el dispositivo de la víctima.

Al igual que su «gemelo relativamente menos malvado», StrandHogg 2. es «extremadamente peligroso» porque no necesita acceso de root o permisos de Android para ejecutarse, Høegh-Omdal escribió. Puede secuestrar permisos de otras aplicaciones con acceso a contactos o mensajes. A diferencia de su predecesor, que solo puede atacar una aplicación a la vez, StrandHogg 2. puede atacar simultáneamente varias aplicaciones.

Høegh-Omdal anticipa que la explotación de malware StrandHogg 2. será más difícil de detectar para los antivirus y los escáneres de seguridad. No se requiere configuración externa para ejecutar StrandHogg 2., lo que brinda a los atacantes la oportunidad de ofuscar aún más sus operaciones. Como señala, el código que proviene de Google Enjoy inicialmente no parecerá malicioso para los desarrolladores o los equipos de seguridad.

«Promon predice que los atacantes buscarán utilizar StrandHogg y StrandHogg 2. juntos porque ambas vulnerabilidades están posicionadas de manera única para atacar dispositivos de diferentes maneras, y al hacerlo se aseguraría de que el área objetivo sea lo más amplia posible», escribió. Muchas mitigaciones que protegen contra StrandHogg no funcionan para StrandHogg 2., y viceversa.

StrandHogg 2. (CVE-2020-0096) ha sido clasificado como Crítico por Google, que lanzó un parche para los socios del ecosistema Android el mes pasado. Promon escribió en una publicación de blog site una revisión de seguridad para las versiones de Android 8., 8.1 y 9..

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de own de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Technology, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia unique