Podría robar también diversos tipos de información del teléfono
Los investigadores han demostrado un nuevo tipo de ataque de malware que puede robar información confidencial de dispositivos Android, incluidos los teléfonos Google y Samsung, sin el conocimiento ni la acción del usuario objetivo.
El ataque se llama "Pixnapping", una aparente combinación de "pixel" y "snapping". Al descargar y abrir un programa que contiene el malware, la aplicación escanea el teléfono en busca de aplicaciones específicas que podría querer espiar. Luego accede a otra aplicación en el teléfono (por ejemplo, Google Authenticator), pero en lugar de abrirla, extrae la información que se mostraría en el canal de renderizado de Android.
A partir de ahí, la aplicación escanea la información de la pantalla en busca de píxeles individuales, centrándose en las áreas que contienen información confidencial. En el caso de Google Authenticator, se centra en los píxeles que contienen los códigos de autenticación de dos factores (2FA) dentro de la aplicación. El malware comprueba si un píxel está en blanco o contiene algún tipo de contenido renderizado. Utiliza estos hallazgos para recuperar las imágenes originales, como un código de autenticación de dos factores (A2F) completo, sin siquiera haberlas visto.
Este proceso puede repetirse durante el tiempo que sea necesario para escanear los píxeles robados y extraer la información original, todo ello sin que el usuario se dé cuenta. Los investigadores comparan este proceso con la captura de pantalla de contenido al que el malware no debería tener acceso.
Cómo funciona el malware
Según los investigadores, existen tres razones por las que los ataques Pixnapping son posibles en Android.
En primer lugar, el sistema operativo permite que las aplicaciones envíen la actividad de otra aplicación al canal de renderizado de Android, lo que permite que la aplicación maliciosa invoque actividades sensibles, como actualizar códigos de autenticación de dos factores (2FA).
En segundo lugar, las aplicaciones pueden ejecutar operaciones gráficas en píxeles mostrados a través de la actividad de otra aplicación, que es cómo la aplicación maliciosa puede extraer píxeles de algo como Google Authenticator.
En tercer lugar, las aplicaciones pueden medir los efectos secundarios de esas operaciones que dependen del color de los píxeles, lo que permite que la aplicación maliciosa filtre los valores de los píxeles.
Los investigadores demostraron estos ataques de Pixnapping en teléfonos Google y Samsung, incluyendo los Pixel 6, Pixel 7, Pixel 8, Pixel 9 y Galaxy S25. Estos teléfonos ejecutaban Android 13, 14, 15 y 16. Los investigadores dicen que no están seguros de si otros tipos de dispositivos Android se ven afectados por este ataque, aunque los "mecanismos centrales" involucrados suelen estar presentes en todos los dispositivos Android.
Los diferentes dispositivos Pixel tuvieron diferentes tasas de éxito en el hackeo de 2FA (73%, 53%, 29% y 53% para Pixel 6, 7, 8 y 9, respectivamente), aunque los investigadores no pudieron obtener los códigos 2FA en el Galaxy S25 dentro de la línea de tiempo de 30 segundos antes de que se actualizaran los códigos.
Además de los dispositivos, los investigadores demostraron ataques de Pixnapping en sitios y servicios como Gmail, Cuentas de Google, Signal, Google Authenticator, Venmo y Google Maps. Esto implica que este tipo de ataque podría robar diversos tipos de información del teléfono, incluyendo correos electrónicos, mensajes cifrados, registros de pagos e historiales de ubicación.
Según los hallazgos, Google ha intentado parchear Pixnapping, pero los investigadores lograron sortear este parche en ataques demostrados. La vulnerabilidad se identifica actualmente como CVE-2025-48561. Google está trabajando en un nuevo parche para la seguridad integrada de Android de diciembre.
Cómo protegerse de Pixnapping
La buena noticia, al menos por ahora, es que los investigadores desconocen la existencia de ataques de Pixnapping en la práctica. Sin embargo, eso no significa que no vayan a ocurrir, especialmente ahora que el ataque se ha revelado.
Lo primero que debes hacer para protegerte es asegurarte de tener instalados los parches de seguridad más recientes en tu dispositivo Android. Aunque Google sigue trabajando en un parche posterior para Pixnapping, ya existe uno. Asegúrate de instalarlo en tu teléfono desde Sistema → Actualizaciones de software.
A continuación, ten cuidado con las aplicaciones que descarga en tu dispositivo. Intenta siempre descargar aplicaciones de plataformas confiables y verificadas, ya que es mucho más difícil para los cibercriminales ocultar malware en las aplicaciones que se distribuyen a través de estas plataformas.
Incluso al descargar aplicaciones en sitios como Google Play Store, investígalas a fondo: asegúrate de que sean realmente la aplicación que crees y que provengan del desarrollador que las creó. Si instalas aplicaciones de forma local, ten cuidado con lo que descargas e instala solo aplicaciones de desarrolladores de confianza.
