Vulnerabilidad StrandHogg

Hace pocos dias investigadores de la compañía de seguridad Promon dieron a conocer mediante una publicación en su blog una vulnerabilidad que afecta a millones de teléfonos Android. Esta vulnerabilidad encontrada es explotada activamente por software malicioso diseñado para drenar las cuentas bancarias de los usuarios infectados.

Esta vulnerabilidad permite que las aplicaciones maliciosas pretendan ser aplicaciones legítimas que los objetivos ya han instalado y confían. Esta vulnerabilidad permite que una aplicación maliciosa solicite permisos mientras se hace pasar por una aplicación legítima. Un atacante puede solicitar acceso a todos los permisos, incluidos SMS, fotos, micrófono y GPS, lo que le permite leer mensajes, ver fotos, escuchar conversaciones y rastrear movimientos de la víctima.

Al explotar esta vulnerabilidad, una aplicación maliciosa instalada en el dispositivo puede atrapar al usuario, por lo tanto, cuando hace clic en el icono de una aplicación legítima, en realidad es una versión maliciosa que aparece en la pantalla.

Cuando la víctima ingresa su información de inicio de sesión en esta interfaz, la información confidencial se envía de inmediato al atacante, quien luego puede conectarse y controlar aplicaciones que pueden contener información confidencial.

La vulnerabilidad se llamaba StrandHogg en refencia a un antiguo nórdico que designaba tácticas vikingas para atacar áreas costeras para saquear y detener a las personas en busca de rescate.

"StrandHogg, es único porque permite ataques sofisticados sin tener que rootear un dispositivo, utiliza una debilidad del sistema multitarea de Android para lanzar ataques poderosos que permiten que aplicaciones maliciosas pretendan ser cualquier otra aplicación en el dispositivo.

"Promon ha estado investigando malware del mundo real que explota esta grave vulnerabilidad y ha descubierto que las 500 aplicaciones más populares (clasificadas según el Barómetro de 42 Materias) son vulnerables, con todas las versiones de Android afectadas.



Por su parte, Lookout, un proveedor de seguridad móvil y socio de Promon, anunció que encontró 36 aplicaciones que explotaban la vulnerabilidad de robo de identidad. Las aplicaciones maliciosas incluían variantes del troyano bancario BankBot. BankBot ha estado activo desde 2017, y las aplicaciones de malware se han encontrado varias veces en el mercado de Google Play.

La vulnerabilidad es más grave en las versiones 6 a 10, que según representan aproximadamente el 80% de los teléfonos Android en el mundo. Los ataques en estas versiones permiten que las aplicaciones maliciosas soliciten permisos mientras se presentan como aplicaciones legítimas.

No hay límite para los permisos que estas aplicaciones maliciosas pueden buscar. El acceso a mensajes de texto, fotos, micrófono, cámara y GPS son unos de los permisos posibles. La única defensa de un usuario es hacer clic en "no" a las solicitudes.

La vulnerabilidad se encuentra en una función conocida como TaskAffinity, una función multitarea que permite a las aplicaciones asumir la identidad de otras aplicaciones o tareas que se ejecutan en el entorno multitarea.

Las aplicaciones maliciosas pueden explotar esta característica definiendo TaskAffinity para una o más de sus actividades para que coincida con el nombre del paquete de una aplicación de terceros de confianza.

Promon dijo que Google ha eliminado aplicaciones maliciosas de la Play Sotre, pero hasta ahora la vulnerabilidad parece no haber sido reparada en todas las versiones de Android. Los representantes de Google no respondieron preguntas sobre cuándo se corregirá la vulnerabilidad, la cantidad de aplicaciones de Google Play que están siendo explotadas o la cantidad de usuarios finales afectados.

StrandHogg representa la mayor amenaza para los usuarios menos experimentados o aquellos con discapacidades cognitivas u otras que hacen que sea difícil prestar mucha atención a los comportamientos sutiles de las aplicaciones.

Aún así, hay varias cosas que los usuarios pueden hacer para detectar aplicaciones maliciosas que intentan aprovechar la vulnerabilidad. Los signos sospechosos incluyen:

- Una aplicación o servicio al que ya está conectado requiere que inicie sesión.
- Ventanas emergentes de autorización que no contienen el nombre de una aplicación.
- Los permisos solicitados de una aplicación que no debería requerir o requerir los permisos solicitados. Por ejemplo, una aplicación de calculadora que solicita autorización de GPS.
- Errores tipográficos y errores en la interfaz de usuario.
- Botones y enlaces en la interfaz de usuario que no hacen nada al hacer clic.
- El botón Atrás que no funciona como se esperaba.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta