Hallada nueva vulnerabilidad en Android que permite a un atacante robar información

Android vulnerabilidad

Un grupo de investigadores de seguridad han descubierto una vulnerabilidad en Android que está siendo utilizada sin control, de nombre Strandhogg, permitiendo alos atacantes obtener información sensible y privada sobre las víctimas, sin provocar sospechas.

Dicha vulnerabilidad ha sido descubierta por la firma Promon, y hace posible que el malware imite la apariencia de cualquier app del teléfono. El usuario podría acabar facilitando sus credenciales en apps de banca online, mensajería o muchas otras, sin darse cuenta.

Vulnerabilidad en Android, explotada para imitar apps legítimas

Muchos fallos de seguridad presentes en Android están en un nivel teórico (de diseño) sin llegar a ser explotadas en el mundo real (como dicen los ingleses, in the wild) y normalmente Google se da prisa en corregir estos fallos.

Lo que pasa con Strandhogg es que Google no se ha dado la prisa habitual y no ha tomado ninguna acción para solventar la vulnerabilidad, a pesar de estar bien informada.

Strandhogg permite a aplicaciones maliciosas (por ejemplo aquellas que se cuelan en en la Play Store) copiar la interfaz gráfica de apps oficiales.

Los usuarios pensarán entonces que, esa aplicación que parece ser de ING Bank, es segura e introducirán su usuario/contraseña, para comprobar posteriormente con horror que los datos no iban al servidor de ING.

Detalles de la amenaza

Existen pocos indicadores que hagan sospechar al usuario que algo no va bien, a lo que no contribuye en absoluto que estas apps estén disponibles en la propia Google Play Store, como hemos dicho, en ciertos casos. En su análisis de la amenaza, también comentan que:

Esta muestra de malware no reside en la tienda de Google, pero fue instalado después gracias a varios dropper / descargadores hostiles distribuidos en la tienda de Google.

Estas apps contaminadas podrían difundirse a miles de usuarios en corto espacio de tiempo. Google ha eliminado las apps contaminadas hasta la fecha, pero aún no ha lanzado parche para remediar el problema.

Toda versión de Android está afectada. Las versiones Android 6.0 en adelante permiten que los permisos se recuperen del sistema.

Las víctimas no pueden realmente saber si la vulnerabilidad ha sido explotada en su sistema, pero tenemos algunos indicadores de compromiso. Echa un vistazo:

  • Una aplicación solicita login incluso si ya hemos proporcionado credenciales
  • El popup de los permisos que aparece no muestra nombre de app
  • La app requiere permisos que normalmente no debería pedir
  • La interfaz contiene errores de composición o elementos no familiares
  • Algnos botones no funcionan bien
  • El botón «atrás» de Android no funciona como debería.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.