StrandHogg – la vulnerabilidad de Android que está siendo explotada activamente
Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad no parcheada en el sistema operativo Android.
La vulnerabilidad está siendo explotada por muchas aplicaciones móviles maliciosas.
Está siendo utilizada en el entorno para robar las credenciales de inicio de sesión bancarias y otras credenciales de los usuarios; además de espiar sus actividades.
Ha sido llamada Strandhogg; la vulnerabilidad reside en la función multitarea de Android que puede ser explotada por una aplicación maliciosa instalada en un dispositivo.
Funcionamiento
Puede enmascararse como cualquier otra aplicación, incluida cualquier aplicación del sistema con privilegios.
En otras palabras, cuando un usuario toca el ícono de una aplicación legítima, el malware que explota la vulnerabilidad Strandhogg puede interceptar y secuestrar esta tarea.
Con esta acción puede mostrar una interfaz falsa al usuario en lugar de iniciar la aplicación legítima.
Al engañar a los usuarios para que piensen que están usando una aplicación legítima, la vulnerabilidad hace posible que las aplicaciones maliciosas roben convenientemente las credenciales de los usuarios.
Su objetivo lo logra usando pantallas de inicio de sesión falsas, como se muestra en la demostración en video.
“La vulnerabilidad permite a un atacante enmascararse como casi cualquier aplicación de una manera altamente creíble”, afirman los investigadores.
“En este ejemplo, el atacante engaña con éxito al sistema e inicia la interfaz de usuario de suplantación de identidad .
Esto lo logra al abusar de algunas condiciones de transición del estado de la tarea, es decir, taskAffinity y allowTaskReparenting”.
“Cuando la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz, los detalles confidenciales se envían inmediatamente al atacante.
Finalmente, este puede iniciar sesión y controlar las aplicaciones sensibles a la seguridad”.
Video – Como explotar StrandHogg:
Este contenido se encuentra parcialmente protegido
Además de las credenciales de inicio de sesión de phishing, una aplicación maliciosa también puede aumentar significativamente sus capacidades engañando a los usuarios.
Una vez engaña al objetivo para que otorguen permisos de dispositivos confidenciales, se hace pasar por una aplicación legítima.
“Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar y rastrear los movimientos de la víctima”.
Peligros implícitos
Descubiertos por investigadores de la empresa de seguridad noruega Promon, los ataques de secuestro de tareas de Strandhogg son potencialmente peligrosos porque:
- Es casi imposible que los usuarios seleccionados detecten el ataque.
- Se puede usar para secuestrar la tarea de cualquier aplicación instalada en un dispositivo.
- Lo pueden usar para solicitar cualquier permiso del dispositivo de manera fraudulenta.
- Se puede explotar sin acceso de root.
- Funciona en todas las versiones de Android, y
- no necesita ningún permiso especial en el dispositivo.
Promon detectó la vulnerabilidad después de analizar una aplicación troyana bancaria maliciosa.
La mencionada aplicación secuestró cuentas bancarias de varios clientes en la República Checa y les robó su dinero.
Según los investigadores, algunas de las aplicaciones maliciosas identificadas también se distribuían a través de varias droppers y aplicaciones de descarga hostiles disponibles en Google Play Store.
La firma de seguridad móvil Lookout también analizó la muestra maliciosa y confirmó que habían identificado al menos 36 aplicaciones maliciosas en el entorno que están explotando la vulnerabilidad Strandhogg.
“Estas aplicaciones ya se han eliminado, pero a pesar de la suite de seguridad Play Protect de Google, las aplicaciones droppers continúan siendo publicadas y frecuentemente pasan desapercibidas.
Algunas de estas se descargan millones de veces antes de ser detectadas y eliminadas”, dicen los investigadores.
Promon informó la vulnerabilidad de Strandhogg al equipo de seguridad de Google este verano y reveló detalles hoy.
Esto porque el gigante de la tecnología no pudo solucionar el problema incluso después de un plazo de divulgación de 90 días.
Medidas a tomar
Aunque no existe una forma efectiva y confiable de bloquear o detectar ataques de secuestro de tareas, los usuarios aún pueden detectar tales ataques al vigilar las discrepancias, como:
- Una aplicación en la que ya has iniciado sesión te solicita un inicio de sesión.
- Ventanas emergentes de permisos que no contienen el nombre de una aplicación.
- Permisos solicitados desde una aplicación que no debería requerir o necesitar los permisos que solicita.
- Los botones y enlaces en la interfaz de usuario no hacen nada cuando haces clic en ellos.
- El botón de retroceso no funciona como esperas.
no entiendo el porqué de las cuentas si no dejas el contenido, favor crea membresías por co tenidos reales o algo de tu propio material no copy paste y edit