Una empresa encontró un fallo en Android llamado “StrandHogg”, que afecta a todas las versiones del sistema operativo y que no requiere de permisos para tomar el control de muchas de las funciones esenciales.
Aprovechando esta vulnerabilidad, al menos 36 apps pueden espiar, sacar fotos o robar las contraseñas del usuario. Así, la falla permite que un malware se haga pasar por aplicación legítima, pudiendo espiar o sacar datos.
La magnitud del peligro llega a tal punto que las 500 aplicaciones más populares están en riesgo, porque son vulnerables.
Los investigadores indican que StrandHogg es imposible de detectar por el usuario final. Google ya está informado, pero no ha solucionado el problema que les fue comunicado hace más de 90 días.
1/2 Estamos fin@s con #StrandHogg: eh aquí lo que puede hacer(te):
• Escuchar al usuario a través del micrófono.
• Tomar fotos a través de la cámara.
• Leer y enviar mensajes SMS
• Hacer y / o grabar conversaciones telefónicas
• Phishing con credenciales de inicio de sesión— Marc Almeida (@cibernicola_es) December 3, 2019
Entre las cosas que puede hacer StrandHogg figura:
- Escuchar al usuario a través del micrófono
- Hacer fotos a través de la cámara
- Leer y enviar mensajes SMS Hacer y/o grabar conversaciones telefónicas
- Robar credenciales de inicio de sesión con phishing
- Obtener acceso a todas las fotos y archivos privados en el dispositivo
- Obtener ubicación e información de GPS
- Obtener acceso a los contactos
- Acceder a los registros del teléfono
Así es StrandHogg
El problema con la vulnerabilidad es que permite que casi cualquier tipo de malware la aproveche. De hecho, puede ser utilizada para engañar a los usuarios y que concedan permisos a aplicaciones maliciosas cuando en realidad interactúan con aplicaciones legítimas.
También puede mostrar páginas de acceso falsas para robar nuestros datos (phishing).
La vulnerabilidad ya está siendo aprovechada. Se han detectado casos en República Checa tras declarar varios bancos el robo de dinero de sus cuentas. Tras eso, han colaborado con Lookout, una firma de seguridad de Estados Unidos, para terminar descubriendo que 36 aplicaciones ya están obteniendo un beneficio económico a costa de esta vulnerabilidad.
Por desgracia, los investigadores no han confirmado el nombre de ninguna de esas aplicaciones. El problema es que esas 36 aplicaciones fueran instaladas en segunda instancia por aplicaciones maliciosas descargadas de la Google Play Store.
A nivel técnico, la vulnerabilidad StrandHogg aprovecha un fallo en la forma en la que Android gestiona el cambio entre procesos que realizan operaciones o aplicaciones. Básicamente, se trata de un fallo en la multitarea de Android que permite a una aplicación maliciosa activar código mientras el usuario inicia una aplicación legítima.
En resumen, el usuario toca una app legítima, como Instagram, pero la aplicación maliciosa aprovecha el fallo en Android para ejecutar un código que activa el malware. Al suceder todo cuando se ha pulsado el icono, el usuario piensa que se trata de la aplicación legítima.
