StrandHogg: última vulnerabilidad de Android

StrandHogg es la última vulnerabilidad detectada en Android que permite al ciberatacante escuchar nuestras conversaciones a través del micrófono, tomar fotos desde la cámara u obtener información de nuestra ubicación.

Los investigadores de seguridad de Promon han encontrado pruebas de una peligrosa vulnerabilidad de Android, denominada ‘StrandHogg’, que permite que ataques de malware en tiempo real se presenten como aplicaciones legítimas, a usuarios que no saben que están siendo atacados.

La vulnerabilidad consiste la superposición de aplicaciones maliciosas a través de la multitarea de Android sobre las demás aplicaciones, engañando así al usuario.

Como vemos en la siguiente imagen, abrimos una aplicación legítima y, en lugar de verla, se despliega el malware y nos solicita permisos sobre nuestro micrófono, ubicación o la cámara, entre otros. La víctima está dando permisos al pirata informático y es dirigida a la aplicación legítima.

Dolbuck Ciberseguridad aporta la última vulnerabilidad de Android en su blog de Seguridad.

Ilustración 1: StrandHogg. Fuente: Promon.co

En otras palabras, la vulnerabilidad permite que una aplicación maliciosa solicite permisos mientras finge ser la aplicación legítima. El ataque puede ser diseñado para solicitar permisos como suele ser habitual cuando descargamos una aplicación, reduciéndose así las sospechas que pudiera tener la víctima.

Los usuarios no son conscientes de que están dando permiso al ciberatacante, y no a la aplicación original que creen que están utilizando.

Al explotar esta vulnerabilidad, una aplicación maliciosa instalada en el dispositivo puede atacar al usuario y engañarlo para que cuando haga clic en el icono de una aplicación legítima, se muestre una versión maliciosa en la pantalla del usuario.

Cuando la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz (por ejemplo, en la App de algún banco), los detalles sensibles se envían inmediatamente al atacante, quien luego puede iniciar sesión y controlar las aplicaciones sensibles a la seguridad.

¿Cuál es el impacto de la vulnerabilidad?

El impacto es amplio y crítico, ya que todas las versiones de Android han sido afectadas, incluyendo Android 10. Según los investigadores de la vulnerabilidad, las 500 aplicaciones más populares de Google Play están en riesgo y se han identificado 36 aplicaciones maliciosas que explotaban la vulnerabilidad. Asimismo, la vulnerabilidad puede ser explotada sin acceso root.

¿Qué pueden hacer los ciberatacantes explotando esta vulnerabilidad?

  • Escuchar al usuario a través del micrófono,
  • Tomar fotos a través de la cámara,
  • Leer y enviar mensajes SMS,
  • Hacer y/o grabar conversaciones telefónicas,
  • Explotar credenciales de inicio de sesión mediante phishing,
  • Obtener acceso a todas las fotos y archivos confidenciales del dispositivo,
  • Obtener información sobre la ubicación y GPS,
  • Acceder a la lista de contactos y al registro de llamadas.

¿Ha sido parcheada por Google la vulnerabilidad?

Google ha eliminado las aplicaciones afectadas, pero, hasta donde se sabe, la vulnerabilidad aún no se ha corregido para ninguna versión de Android (incluyendo Android 10).

Se tiene constancia y evidencia de que los ciberatacantes están explotando StrandHogg para obtener acceso a dispositivos, aplicaciones y credenciales. La vulnerabilidad se identificó después de que una empresa del sector financiero de Europa del Este informara a las autoridades pertinentes de que estaba desapareciendo el dinero de las cuentas bancarias de sus clientes.

Es por eso que desde Dolbuck Ciberseguridad recomendamos a las empresas la auditoría periódica de las aplicaciones informáticas y de los sistemas y redes, para tratar de reducir al mínimo el riesgo de ciberataque. La ciberprotección total no existe.