Home Sociedad La vulnerabilidad de StrandHogg, afecta a todas las versiones de Android

La vulnerabilidad de StrandHogg, afecta a todas las versiones de Android

Una falla, recientemente descubierta, en el sistema operativo Android, podría permitir a los atacantes abusar de aplicaciones legítimas para entregar malware. Al hacerlo, podrían rastrear a los usuarios sin su conocimiento.

Investigadores de la compañía noruega de seguridad de aplicaciones, Promon, apodaron al bicho “StrandHogg”, un antiguo término nórdico para una táctica de incursión costera vikinga. Un atacante exitoso podría explotar la vulnerabilidad para hacerse cargo de una aplicación legítima y ejecutar procesos maliciosos sin el conocimiento del usuario.

StrandHogg ya ha sido explotado en estado salvaje, y no necesita acceso de root para ejecutarse, y afecta a todas las versiones de Android, incluyendo Android 10, lanzado en septiembre último.

Si tiene éxito, la vulnerabilidad podría conceder a los atacantes acceso a conversaciones privadas por SMS, fotos y credenciales de inicio de sesión. Los expertos informan que podrían rastrear los movimientos de la víctima, hacer y/o grabar llamadas telefónicas y espiar a través de la cámara y el micrófono del teléfono inteligente.

Los expertos encontraron a StrandHogg cuando su cliente, una empresa de seguridad de Europa del Este, notó una tendencia a desviar dinero de cuentas en bancos checos. Ellos rastrearon la raíz del problema hasta StrandHogg, una vulnerabilidad que puede ser explotada para hacer creer a los usuarios de Android que están usando una aplicación legítima mientras interactúan con la superposición de una aplicación maliciosa.

Los investigadores se asociaron con la empresa de seguridad estadounidense Lookout, que confirmó que 36 aplicaciones maliciosas están explotando StrandHogg. Todas las 500 aplicaciones Android más populares corren el riesgo de que sus procesos sean abusados por la vulnerabilidad. El director técnico de Promon, Tom Lysemose Hansen, dice que el error ha sido analizado durante la primavera y el verano, aunque las aplicaciones maliciosas podrían haber estado explotando el defecto mucho antes de esto.

Además, determinaron que 60 empresas financieras distintas, están siendo atacadas con aplicaciones diseñadas para explotar esta vulnerabilidad. Entre las 36 aplicaciones maliciosas que explotan StrandHogg se encuentran variantes del troyano bancario BankBot, que se ha visto en ataques en todo el mundo desde 2017.

StrandHogg existe en el sistema operativo Android, específicamente en la forma en que cambia de proceso a proceso para diferentes aplicaciones. La debilidad está en el sistema multitarea de Android, o su capacidad para ejecutar varias aplicaciones al mismo tiempo y cambiar de una aplicación a otra en la pantalla. Configuración del control de Android taskAffinity permite que cualquier aplicación, incluso maliciosa, asuma cualquier identidad en el sistema multitarea.

Como resultado, las aplicaciones maliciosas pueden solicitar cualquier permiso mientras pretenden ser legítimas. Un ataque puede ser diseñado para pedir permisos que parecen naturales para las aplicaciones objetivo. Al hacer esto, los adversarios podrían reducir la posibilidad de que las víctimas se den cuenta de que algo anda mal. Los usuarios no tienen ninguna indicación de que estén concediendo permiso a una aplicación maliciosa y no a la auténtica.

“Si quería obtener diferentes permisos (por ejemplo, si quiere acceder a un SMS y no tiene ese permiso cuando se descarga), entonces, por ejemplo, puede esperar hasta que el usuario final haga clic en la aplicación SMS y, en ese momento, tomar el control, pedirle al usuario que conceda los permisos y, a medida que el usuario final hace clic en la aplicación, le proporciona esos permisos”, dice Hansen. “El usuario final creería que le dio[permisos] a la aplicación SMS, pero realmente se lo dio a la aplicación de malware.”

Con información de: ZDNet.