Permite a un atacante enmascararse como casi cualquier aplicación de una manera altamente creíble
Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad no parcheada en el sistema operativo Android que ya están explotando en la naturaleza docenas de aplicaciones móviles maliciosas para robar las credenciales de inicio de sesión bancarias y otras credenciales de los usuarios y espiar sus actividades.
Denominada Strandhogg, la vulnerabilidad reside en la función multitarea de Android que puede ser explotada por una aplicación maliciosa instalada en un dispositivo para enmascararse como cualquier otra aplicación, incluida cualquier aplicación privilegiada del sistema.
En otras palabras, cuando un usuario toca el ícono de una aplicación legítima, el malware que explota la vulnerabilidad Strandhogg puede interceptar y secuestrar esta tarea para mostrar al usuario una interfaz falsa en lugar de iniciar la aplicación legítima.
Al engañar a los usuarios para que piensen que están usando una aplicación legítima, la vulnerabilidad hace posible que las aplicaciones maliciosas roben convenientemente las credenciales de los usuarios usando falsas pantallas de inicio de sesión, como se muestra en la demostración en vídeo.
"La vulnerabilidad permite a un atacante enmascararse como casi cualquier aplicación de una manera altamente creíble", dijeron los investigadores.
"En este ejemplo, el atacante engaña con éxito al sistema y lanza la interfaz de usuario de suplantación de identidad al abusar de algunas condiciones de transición del estado de la tarea, es decir, taskAffinity y allowTaskReparenting".
"Cuando la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz, se envían inmediatamente al atacante los detalles confidenciales, que luego puede iniciar sesión y controlar las aplicaciones sensibles a la seguridad".
Además de las credenciales de inicio de sesión de suplantación de identidad (phishing), una aplicación maliciosa también puede aumentar significativamente sus capacidades engañando a los usuarios para que otorguen permisos confidenciales de los dispositivos mientras se hace pasar por una aplicación legítima.
"Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar y rastrear los movimientos de la víctima".
Descubiertos por investigadores de la empresa de seguridad noruega Promon, los ataques de secuestro de tareas de Strandhogg son potencialmente peligrosos porque:
• Es casi imposible que los usuarios seleccionados detecten el ataque,
• se puede usar para secuestrar la tarea de cualquier aplicación instalada en un dispositivo,
• se puede usar para solicitar cualquier permiso de dispositivo de manera fraudulenta,
• se puede explotar sin acceso de root,
• funciona en todas las versiones de Android, y
• no necesita ningún permiso especial en el dispositivo.
Promon detectó la vulnerabilidad después de analizar una aplicación troyana bancaria maliciosa que secuestró cuentas bancarias de varios clientes en la República Checa y les robó su dinero.
Según los investigadores, algunas de las aplicaciones maliciosas identificadas también se distribuían a través de varios cuentagotas y aplicaciones de descarga hostiles disponibles en Google Play Store.
La firma de seguridad móvil Lookout también analizó la muestra maliciosa y confirmó que habían identificado al menos 36 aplicaciones maliciosas que están explotando la vulnerabilidad Strandhogg en la naturaleza.
"Estas aplicaciones se han eliminado ahora, pero a pesar de la suite de seguridad Play Protect de Google, las aplicaciones cuentagotas continúan siendo publicadas y frecuentemente pasan desapercibidas, y algunas se descargan millones de veces antes de ser detectadas y eliminadas", dicen los investigadores.
Promon informó la vulnerabilidad de Strandhogg al equipo de seguridad de Google este verano y reveló detalles hoy cuando el gigante de la tecnología no pudo solucionar el problema incluso después de un plazo de divulgación de 90 días.
Aunque no existe una manera efectiva y confiable de bloquear o detectar ataques de secuestro de tareas, los usuarios aún pueden detectar tales ataques al vigilar las discrepancias, como:
• Una aplicación en la que ya has iniciado sesión solicita un inicio de sesión,
• ventanas emergentes de permisos que no contienen el nombre de una aplicación,
• permisos solicitados desde una aplicación que no debería requerir o necesitar los permisos que solicita,
• los botones y enlaces en la interfaz de usuario no hacen nada cuando se hace clic en ellos,
• el botón de retroceso no funciona como se esperaba.