När du klickar på en app på en Android-smartphone förväntar du dig att nästa fönster dyker upp är helt legitimt.
Men en ny sårbarhet i operativsystemet kan faktiskt låta en hacker kapa processen och placera ett skadligt fönster över din telefon istället.
Sårbarheten är praktisk för hackare som designar skadlig programvara från Android och försöker sprida sina skapelser i appbutiker, enligt säkerhetsföretaget Promon, som avslöjade bristen på tisdag.
"Genom att utnyttja denna sårbarhet kan en skadlig app som är installerad på en enhet attackera och lura användaren så att när appikonen för en legitim app klickas visas en skadlig version istället på användarens skärm", säger företaget.
De skadliga fönstren kan innehålla en falsk inloggningsskärm som ber om ditt lösenord.
Offer som ser popup-fönstret antar att fönstret är legitimt.
Men i verkligheten är inloggningsskärmen i hemlighet utformad för att överföra dina lösenordsuppgifter till hackaren.
Sårbarheten gör det också möjligt för en del skadlig kod att visa falska behörighetsfönster som låtsas komma från legitima appar.
Behörigheterna kan användas för att be om åtkomst till telefonens kamera, mikrofon, SMS-meddelanden eller GPS-platsen, vilket banar väg för partiell enhetsövertagande.
Vad som gör sårbarheten särskilt problematisk är hur det inte kräver root-åtkomst eller extra behörigheter för att köras på en Android-enhet.
Hackaren behöver bara lura offret att ladda ner och installera skadlig kod för att börja kapa de legitima appprocesserna via telefon.
Promon har kallat felet StrandHogg 2.0 på grund av dess likheter med en tidigare sårbarhet i Android som också kan injicera falska tillstånds popup-fönster i operativsystemet.
StrandHogg 2.0 är en uppgraderad form av attack eftersom den kan kapa flera appar på en Android-enhet när som helst.
Den äldre attacken kan å andra sidan bara rikta in sig på appar en i taget.
Den goda nyheten är att Android 10, den senaste versionen av operativsystemet, är immun mot felet.
Sårbarheten påverkar dock fortfarande Android 9 och senare, eller vad över 90 procent av Android-användarbasen för närvarande kör.
Som svar utgav Google tidigare denna månad en säkerhetsuppdatering för Android 8, 8.1 och 9 som smartphoneleverantörer kan rulla ut till sina enheter.
"Vi uppskattar forskarnas arbete och har släppt en lösning för den fråga som de identifierat", säger en Google-talesman till Daxdi.
"Dessutom upptäcker och blockerar Google Play Protect skadliga appar, inklusive sådana som använder denna teknik."
Hittills har Promon avslöjat inga bevis för att hackare har missbrukat Strandhogg 2.0-felet.
Men säkerhetsföretaget förutspår cyberbrottslingar så småningom kommer att införliva sårbarheten i sina attacker.
För att vara säker är det en bra idé att bara ladda ner appar från Google Play Butik, som försöker screena produkter för potentiella hot.
Du kan också överväga att installera ett antivirusprogram.
Med detta sagt är Promon bekymrad över att en StrandHogg 2.0-attack kommer att bli svårare för både Google och antivirusprogram att upptäcka eftersom sårbarheten kan aktiveras utan mycket märkbar datorkod.
"Eftersom ingen extern konfiguration krävs för att utföra StrandHogg 2.0, gör det det möjligt för hackaren att fördunkla attacken, eftersom kod som erhållits från Google Play initialt inte verkar misstänkt för utvecklare och säkerhetsteam," tillade Promon.
