Los investigadores de ciberseguridad han descubierto una nueva vulnerabilidad no parcheada en el sistema operativo Android que docenas de aplicaciones móviles maliciosas ya están explotando en la naturaleza para robar las credenciales de inicio de sesión bancarias y otras credenciales de los usuarios y espiar sus actividades.

Apodada Strandhogg , la vulnerabilidad reside en la función multitarea de Android que puede ser explotada por una aplicación maliciosa instalada en un dispositivo para enmascararse como cualquier otra aplicación, incluida cualquier aplicación de sistema privilegiada.

En otras palabras, cuando un usuario toca el ícono de una aplicación legítima, el malware que explota la vulnerabilidad Strandhogg puede interceptar y secuestrar esta tarea para mostrar una interfaz falsa al usuario en lugar de iniciar la aplicación legítima.

Al engañar a los usuarios para que piensen que están usando una aplicación legítima, la vulnerabilidad hace posible que las aplicaciones maliciosas roben convenientemente las credenciales de los usuarios usando pantallas de inicio de sesión falsas, como se muestra en la demostración en video.

«La vulnerabilidad permite a un atacante enmascararse como casi cualquier aplicación de una manera altamente creíble», dijeron los investigadores .

«En este ejemplo, el atacante engaña con éxito al sistema e inicia la interfaz de usuario de suplantación de identidad al abusar de algunas condiciones de transición del estado de la tarea, es decir, taskAffinity y allowTaskReparenting».

«Cuando la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz, los detalles confidenciales se envían inmediatamente al atacante, que luego puede iniciar sesión y controlar las aplicaciones sensibles a la seguridad».

Además de las credenciales de inicio de sesión de phishing, una aplicación maliciosa también puede aumentar significativamente sus capacidades engañando a los usuarios para que otorguen permisos de dispositivos confidenciales mientras se hace pasar por una aplicación legítima.

«Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar y rastrear los movimientos de la víctima».
Descubiertos por investigadores de la empresa de seguridad noruega Promon, los ataques de secuestro de tareas de Strandhogg son potencialmente peligrosos porque:

  • Es casi imposible que los usuarios seleccionados detecten el ataque,
  • se puede usar para secuestrar la tarea de cualquier aplicación instalada en un dispositivo,
  • se puede usar para solicitar cualquier permiso de dispositivo de manera fraudulenta,
  • se puede explotar sin acceso de root,
  • funciona en todas las versiones de Android, y
  • no necesita ningún permiso especial en el dispositivo.

Promon detectó la vulnerabilidad después de analizar una aplicación troyana bancaria maliciosa que secuestró cuentas bancarias de varios clientes en la República Checa y les robó su dinero.

vulnerabilidad de secuestro de tareas de Android

Según los investigadores, algunas de las aplicaciones maliciosas identificadas también se distribuían a través de varios cuentagotas y aplicaciones de descarga hostiles disponibles en Google Play Store.
La firma de seguridad móvil Lookout también analizó la muestra maliciosa y confirmó que habían identificado al menos 36 aplicaciones maliciosas en la naturaleza que están explotando la vulnerabilidad Strandhogg.

«Estas aplicaciones ahora se han eliminado, pero a pesar de la suite de seguridad Play Protect de Google, las aplicaciones cuentagotas continúan siendo publicadas y frecuentemente pasan desapercibidas, y algunas se descargan millones de veces antes de ser detectadas y eliminadas», dicen los investigadores.

Promon informó la vulnerabilidad de Strandhogg al equipo de seguridad de Google este verano y reveló detalles hoy cuando el gigante de la tecnología no pudo solucionar el problema incluso después de un plazo de divulgación de 90 días.

Aunque no existe una forma efectiva y confiable de bloquear o detectar ataques de secuestro de tareas, los usuarios aún pueden detectar tales ataques al vigilar las discrepancias, como:

  • una aplicación en la que ya ha iniciado sesión solicita un inicio de sesión,
  • ventanas emergentes de permisos que no contienen el nombre de una aplicación,
  • permisos solicitados desde una aplicación que no debería requerir o necesitar los permisos que solicita,
  • los botones y enlaces en la interfaz de usuario no hacen nada cuando se hace clic en ellos,
  • El botón de retroceso no funciona como se esperaba.

Fuente: thehackernews.com

Compartir