Gracias a StrandHogg, el malware puede crear pantallas de inicio de sesión falsas para robar sus contraseñas
El lunes, investigadores de una compañía noruega de seguridad móvil llamada Promon revelaron públicamente una grave vulnerabilidad en el sistema operativo Android. Tiene un nombre bastante apropiado después de StrandHogg: la táctica vikinga de asaltar las líneas costeras y capturar a los pueblos indígenas con la intención de comerciarlos como esclavos. La vulnerabilidad afecta a todas las versiones del sistema operativo móvil de Google, incluido el último Android 10, y según Promon, los piratas informáticos pueden atacar a los usuarios de las 500 aplicaciones más populares en la tienda Google Play. Si se explota, StrandHogg ofrece a los atacantes la capacidad de hacer casi cualquier cosa, desde revisar los registros de llamadas a través de credenciales de inicio de sesión de phishing hasta espiar a las personas con la cámara y el micrófono del dispositivo. Sin embargo, antes de ver cómo funciona StrandHogg, primero debemos aprender cómo se desarrolla un ataque típico en Android.
Table of Contents
Cómo los hackers suelen atacar a los usuarios de Android
Es un hecho bien conocido que un dispositivo Android presenta una superficie de ataque bastante significativa. Nuestros teléfonos inteligentes están más o menos pegados a nuestras manos, y hoy en día hacemos casi todo en ellos. Los hackers pueden usarlos para robar información confidencial y espiarnos, pero hacerlo no es tan simple como engañarnos para que instalemos una aplicación maliciosa.
Las aplicaciones generalmente no tienen acceso a todos los rincones del sistema operativo. Antes de que puedan usar el micrófono del dispositivo, por ejemplo, deben solicitar un permiso explícito y, si quieren tener más libertad de movimiento, necesitan derechos administrativos. En un escenario típico, el usuario es el que decide qué aplicaciones obtienen qué permisos, y los ataques a menudo fallan debido a esto. Es posible obtener los permisos requeridos sin el consentimiento específico del propietario si el dispositivo está rooteado, pero hay que decir que no muchas personas saben cómo o pueden molestarse en rootear sus teléfonos inteligentes.
El problema con StrandHogg es que puede funcionar en dispositivos que no están enraizados, y en ciertos escenarios de explotación, puede obtener todos los permisos que necesita sin que el usuario sospeche nada.
Cómo funciona StrandHogg
La fortaleza de StrandHogg reside en el hecho de que permite a los hackers hacerse pasar por aplicaciones legítimas. La explotación exitosa de StrandHogg requiere la instalación de una aplicación maliciosa ya sea por el usuario o por una aplicación de cuentagotas. Según Promon, el malware puede venir con algún tipo de funcionalidad legítima. Sin embargo, su objetivo principal es utilizar una debilidad en el sistema multitarea de Android, lo que le permite realizar un truco inteligente que puede engañar incluso al usuario más atento.
Debido a esa debilidad, el malware puede mostrar un formulario de inicio de sesión de phishing la próxima vez que el usuario inicie una aplicación como Facebook, por ejemplo. Después de enviar las credenciales de inicio de sesión recopiladas a los piratas informáticos, la aplicación falsa ejecuta Facebook, lo que reduce las posibilidades de que la víctima descubra que algo no está del todo bien.
Usando StrandHogg, una aplicación maliciosa también puede hacerse pasar por una legítima y solicitar permisos que podrían ser difíciles de obtener en un ataque más habitual. Por ejemplo, si una aplicación meteorológica de terceros o una calculadora solicita acceso a la cámara del dispositivo, es poco probable que haga clic en el botón Aceptar de inmediato. Si, por otro lado, Facebook solicita el mismo permiso, pensaría que esto es perfectamente normal porque así es como se crean publicaciones e historias sobre la marcha. Sin embargo, debido a StrandHogg, la aplicación con la que estás interactuando podría no ser Facebook en absoluto.
Al usar StrandHogg, una aplicación maliciosa puede obtener casi cualquier permiso que necesite, por lo que la vulnerabilidad se puede usar en una gama tan amplia de escenarios de ataque. Como si eso no fuera suficiente, un exploit exitoso es muy difícil de detectar. Los expertos de Promon notaron que es posible que pueda detectar la aplicación maliciosa en la pantalla de Aplicaciones recientes, pero dijeron que los atacantes tienen una forma de esconderse de usted. La noticia realmente mala es que los ciberdelincuentes ya saben cómo aprovechar la vulnerabilidad, y lo están haciendo mientras hablamos.
StrandHogg ya está explotado en la naturaleza
Los investigadores de Promon dijeron que han visto "evidencia tangible" de piratas informáticos que utilizan la vulnerabilidad StrandHogg. De hecho, toda la investigación comenzó después de que varios bancos en la República Checa hicieron sonar las alarmas acerca de que los clientes estaban drenando sus cuentas. Lookout, uno de los socios de Promon, identificó un total de 36 aplicaciones maliciosas que se han visto explotando StrandHogg en la naturaleza. Una de ellas era una variante de BankBot que se remonta a 2017, y aunque ninguna de las aplicaciones residía en Google Play, algunas de ellas se descargaron a través de cuentagotas que estaban disponibles en la tienda oficial de Android. Google eliminó las aplicaciones inmediatamente después de ser notificado, pero luego no pudo decir qué está haciendo para solucionar lo que sin duda es un problema grave.
Aunque los investigadores de Promon compartieron sus hallazgos con Google en el verano, StrandHogg afecta incluso a los dispositivos insignia más nuevos que ejecutan la última versión de Android. Esto significa que corregir la vulnerabilidad está resultando demasiado difícil o Google no tiene demasiada prisa para hacerlo. Debido a que el gigante de los motores de búsqueda no ha emitido un comentario oficial, no podemos estar seguros de dónde está el problema. El informe de Promon nos dice, sin embargo, que cuando los investigadores de la Universidad de Penn State describieron aspectos de la vulnerabilidad en 2015, Google desestimó la gravedad de StrandHogg. Con suerte, con o sin un anuncio oficial, pronto llegará un parche.
