El malware de Android abusa de los permisos de la aplicación para secuestrar teléfonos

Los usuarios de Android tengan cuidado: los piratas informáticos se están aprovechando de una falla en el sistema operativo que puede engañarlo para que ceda el acceso a su teléfono.

El lunes, investigadores de seguridad en Noruega revelaron "Strandhogg", una vulnerabilidad que puede explotar las ventanas emergentes de permisos en Android.

Irónicamente, las ventanas emergentes de permisos están destinadas a ser una característica de seguridad; Si una aplicación desea acceder a los mensajes SMS, la cámara o los contactos de su teléfono, primero debe obtener su aprobación.

La función es una herramienta útil para evitar que las aplicaciones accedan automáticamente a los datos o funciones confidenciales de su teléfono.

Desafortunadamente, la misma salvaguardia tiene un defecto.

La empresa de seguridad Promon ha descubierto a piratas informáticos que utilizan software malicioso para superponer ventanas emergentes de permisos falsos en el momento en que un usuario toca una aplicación legítima de Android.

Los usuarios que ven y hacen clic en las ventanas emergentes pueden asumir, "Oh, estoy dejando que Instagram o Twitter accedan al almacenamiento de mi teléfono.

Claro, está bien".

Pero en realidad, están abriendo la puerta para que la propia aplicación maliciosa del pirata informático se sumerja de inmediato.

"Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar a escondidas y rastrear los movimientos de la víctima", dijo Promon en su informe.

"El ataque puede diseñarse para solicitar permisos, lo que sería natural que solicitaran diferentes aplicaciones específicas, lo que a su vez reduce las sospechas de las víctimas".

El mismo defecto puede secuestrar la ventana emergente de permisos para cualquier aplicación de Android.

Además, también puede superponer ventanas de inicio de sesión similares en la parte superior de una aplicación bancaria o de redes sociales para engañarlo para que entregue sus contraseñas.

La vulnerabilidad existe gracias al sistema multitarea en Android llamado "taskAffinity", que puede permitir inadvertidamente que una aplicación maliciosa asuma la identidad de otra aplicación a bordo del sistema operativo, dijo Promon.

La firma de seguridad descubrió la amenaza después de que clientes de varios bancos en la República Checa informaron que su dinero desapareció misteriosamente de sus cuentas.

Luego, un socio de la empresa proporcionó a Promon una muestra en vivo del malware de Android que explotó la falla.

Para realizar el ataque, los piratas informáticos han estado usando en secreto "aplicaciones de cuentagotas" y "descargadores hostiles" en Google Play Store.

Estas aplicaciones pueden ser inofensivas al principio, pero descargarán en secreto el malware basado en Strandhogg en el teléfono de la víctima más adelante.

En respuesta a la amenaza, Google dijo que eliminó las aplicaciones dañinas de Play Store.

De la empresa El software integrado de protección contra malware para Android, Google Play Protect, también se ha actualizado para evitar que las aplicaciones utilicen el ataque Strandhogg.

"Además, continuamos investigando para mejorar la capacidad de Google Play Protect para proteger a los usuarios contra problemas similares", agregó un portavoz de la compañía.

Sin embargo, Promon afirma que Google no ha parcheado el sistema operativo Android del ataque Strandhogg.

En total, se han encontrado 36 aplicaciones maliciosas, algunas de las cuales se remontan a 2017, utilizando la vulnerabilidad, según el socio de Promon en la investigación, Lookout.

Curiosamente, ninguna de las empresas involucradas mencionó qué aplicaciones se vieron afectadas, por lo que no queda clara la escala de la amenaza.

Entonces, ¿cómo puedes protegerte? El ataque proviene de aplicaciones maliciosas.

Por lo tanto, es mejor evitar las tiendas de aplicaciones de terceros fuera de Google Play y abstenerse de descargar aplicaciones de desarrolladores poco conocidos.

Promon también aconseja a los usuarios que estén atentos a las aplicaciones que soliciten permisos que no necesitan.

Por ejemplo, una aplicación de calculadora que solicita permiso de GPS.

Si sospecha que está ocurriendo algo sospechoso, desinstale la aplicación de inmediato.

Los usuarios de Android tengan cuidado: los piratas informáticos se están aprovechando de una falla en el sistema operativo que puede engañarlo para que ceda el acceso a su teléfono.

El lunes, investigadores de seguridad en Noruega revelaron "Strandhogg", una vulnerabilidad que puede explotar las ventanas emergentes de permisos en Android.

Irónicamente, las ventanas emergentes de permisos están destinadas a ser una característica de seguridad; Si una aplicación desea acceder a los mensajes SMS, la cámara o los contactos de su teléfono, primero debe obtener su aprobación.

La función es una herramienta útil para evitar que las aplicaciones accedan automáticamente a los datos o funciones confidenciales de su teléfono.

Desafortunadamente, la misma salvaguardia tiene un defecto.

La empresa de seguridad Promon ha descubierto a piratas informáticos que utilizan software malicioso para superponer ventanas emergentes de permisos falsos en el momento en que un usuario toca una aplicación legítima de Android.

Los usuarios que ven y hacen clic en las ventanas emergentes pueden asumir, "Oh, estoy dejando que Instagram o Twitter accedan al almacenamiento de mi teléfono.

Claro, está bien".

Pero en realidad, están abriendo la puerta para que la propia aplicación maliciosa del pirata informático se sumerja de inmediato.

"Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar a escondidas y rastrear los movimientos de la víctima", dijo Promon en su informe.

"El ataque puede diseñarse para solicitar permisos, lo que sería natural que solicitaran diferentes aplicaciones específicas, lo que a su vez reduce las sospechas de las víctimas".

El mismo defecto puede secuestrar la ventana emergente de permisos para cualquier aplicación de Android.

Además, también puede superponer ventanas de inicio de sesión similares en la parte superior de una aplicación bancaria o de redes sociales para engañarlo para que entregue sus contraseñas.

La vulnerabilidad existe gracias al sistema multitarea en Android llamado "taskAffinity", que puede permitir inadvertidamente que una aplicación maliciosa asuma la identidad de otra aplicación a bordo del sistema operativo, dijo Promon.

La firma de seguridad descubrió la amenaza después de que clientes de varios bancos en la República Checa informaron que su dinero desapareció misteriosamente de sus cuentas.

Luego, un socio de la empresa proporcionó a Promon una muestra en vivo del malware de Android que explotó la falla.

Para realizar el ataque, los piratas informáticos han estado usando en secreto "aplicaciones de cuentagotas" y "descargadores hostiles" en Google Play Store.

Estas aplicaciones pueden ser inofensivas al principio, pero descargarán en secreto el malware basado en Strandhogg en el teléfono de la víctima más adelante.

En respuesta a la amenaza, Google dijo que eliminó las aplicaciones dañinas de Play Store.

De la empresa El software integrado de protección contra malware para Android, Google Play Protect, también se ha actualizado para evitar que las aplicaciones utilicen el ataque Strandhogg.

"Además, continuamos investigando para mejorar la capacidad de Google Play Protect para proteger a los usuarios contra problemas similares", agregó un portavoz de la compañía.

Sin embargo, Promon afirma que Google no ha parcheado el sistema operativo Android del ataque Strandhogg.

En total, se han encontrado 36 aplicaciones maliciosas, algunas de las cuales se remontan a 2017, utilizando la vulnerabilidad, según el socio de Promon en la investigación, Lookout.

Curiosamente, ninguna de las empresas involucradas mencionó qué aplicaciones se vieron afectadas, por lo que no queda clara la escala de la amenaza.

Entonces, ¿cómo puedes protegerte? El ataque proviene de aplicaciones maliciosas.

Por lo tanto, es mejor evitar las tiendas de aplicaciones de terceros fuera de Google Play y abstenerse de descargar aplicaciones de desarrolladores poco conocidos.

Promon también aconseja a los usuarios que estén atentos a las aplicaciones que soliciten permisos que no necesitan.

Por ejemplo, una aplicación de calculadora que solicita permiso de GPS.

Si sospecha que está ocurriendo algo sospechoso, desinstale la aplicación de inmediato.