Vulnerabilidad de Android Strandhogg sin parches explotada activamente en estado salvaje

Noticias 18 de marzo de 2022

Ataques de secuestro de tareas de Android

Los investigadores de seguridad cibernética han descubierto una nueva vulnerabilidad sin parches en el sistema operativo Android que docenas de aplicaciones móviles maliciosas ya están explotando para robar las credenciales bancarias y de inicio de sesión de los usuarios y espiar sus actividades.

Doblado Strandhoggla vulnerabilidad reside en la función multitarea de Android que puede ser explotada por una aplicación maliciosa instalada en un dispositivo para hacerse pasar por cualquier otra aplicación en él, incluida cualquier aplicación de sistema privilegiada.

En otras palabras, cuando un usuario toca el ícono de una aplicación legítima, el malware que explota la vulnerabilidad de Strandhogg puede interceptar y secuestrar esta tarea para mostrar una interfaz falsa al usuario en lugar de iniciar la aplicación legítima.

Al engañar a los usuarios para que piensen que están usando una aplicación legítima, la vulnerabilidad hace posible que las aplicaciones maliciosas roben convenientemente las credenciales de los usuarios usando pantallas de inicio de sesión falsas, como se muestra en la demostración del video.

«La vulnerabilidad permite que un atacante se haga pasar por casi cualquier aplicación de una manera muy creíble», dijeron los investigadores.

«En este ejemplo, el atacante engaña con éxito al sistema e inicia la interfaz de usuario de suplantación de identidad al abusar de algunas condiciones de transición de estado de tarea, es decir, taskAffinity y allowTaskReparenting».

«Cuando la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz, los detalles confidenciales se envían inmediatamente al atacante, quien luego puede iniciar sesión y controlar las aplicaciones sensibles a la seguridad».

Además de las credenciales de inicio de sesión de phishing, una aplicación maliciosa también puede aumentar significativamente sus capacidades al engañar a los usuarios para que otorguen permisos de dispositivos confidenciales mientras se hacen pasar por una aplicación legítima.

«Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar a escondidas y rastrear los movimientos de la víctima».

Descubiertos por investigadores de la empresa de seguridad noruega Promon, los ataques de secuestro de tareas de Strandhogg son potencialmente peligrosos porque:

  • es casi imposible que los usuarios objetivo detecten el ataque,
  • se puede usar para secuestrar la tarea de cualquier aplicación instalada en un dispositivo,
  • se puede utilizar para solicitar permiso de cualquier dispositivo de forma fraudulenta,
  • puede ser explotado sin acceso de root,
  • funciona en todas las versiones de Android, y
  • no necesita ningún permiso especial en el dispositivo.

Promon detectó la vulnerabilidad después de analizar una aplicación de troyano bancario malicioso que secuestró cuentas bancarias de varios clientes en la República Checa y robó su dinero.

Vulnerabilidad de secuestro de tareas de Android

Según los investigadores, algunas de las aplicaciones maliciosas identificadas también se distribuyeron a través de varios droppers y aplicaciones de descarga hostiles disponibles en Google Play Store.
La firma de seguridad móvil Lookout también analizó la muestra maliciosa y confirmó que habían identificado al menos 36 aplicaciones maliciosas que están explotando la vulnerabilidad de Strandhogg.

«Estas aplicaciones ahora se han eliminado, pero a pesar de la suite de seguridad Play Protect de Google, las aplicaciones cuentagotas continúan publicándose y con frecuencia pasan desapercibidas, y algunas se descargan millones de veces antes de ser detectadas y eliminadas», dicen los investigadores.

Promon informó sobre la vulnerabilidad de Strandhogg al equipo de seguridad de Google este verano y reveló los detalles hoy cuando el gigante tecnológico no solucionó el problema incluso después de un plazo de divulgación de 90 días.

Aunque no existe una forma efectiva y confiable de bloquear o detectar ataques de secuestro de tareas, los usuarios aún pueden detectar tales ataques al estar atentos a las discrepancias, como:

  • una aplicación en la que ya ha iniciado sesión está solicitando un inicio de sesión,
  • ventanas emergentes de permisos que no contienen el nombre de una aplicación,
  • permisos solicitados por una aplicación que no debería requerir o necesitar los permisos que solicita,
  • los botones y enlaces en la interfaz de usuario no hacen nada cuando se hace clic en ellos,
  • El botón Atrás no funciona como se esperaba.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes