Vulnerabilidad crítica en Android permite reemplazar apps legítimas por maliciosas

Una vulnerabilidad crítica en Android, apodada StrandHogg 2.0, fue recientemente descubierta y permitiría que apps maliciosas se hagan pasar por legítimas para robar información sensible de los usuarios al solicitar el ingreso de credenciales de acceso u otro tipo de información.

Se trata de una vulnerabilidad (CVE-2020-0096) de escalación de privilegios que afecta a todos los dispositivos que corran la versión 9.0 de Android (o anteriores) y puede ser explotada por un atacante sin necesidad de obtener acceso root. En este sentido, en caso de explotación un atacante podría llevar adelante varias acciones maliciosas en el equipo de la víctima, como escuchar a través del micrófono del equipo comprometido, tomar fotografías a través de la cámara, leer y enviar mensajes SMS, realizar llamadas telefónicas y/o grabar las conversaciones, robar credenciales, acceder a los archivos almacenados en el dispositivo, obtener información de la ubicación, acceder a la lista de contactos, así como las claves de acceso al teléfono.

El hallazgo de esta vulnerabilidad fue realizado por la compañía Promon, quien también había descubierto en 2019 la versión 1.0 de este fallo -aún sin parchear- que presenta características similares y que había sido explotado de manera activa por el troyano bancario BankBot.

En el caso de la primera versión de StrandHogg, la vulnerabilidad hacía uso de la funcionalidad taskAffinity para tomar el control de una aplicación a la vez en el equipo de la víctima y reemplazar la app legítima por una versión falsa. En el caso de StrandHogg 2.0, el fallo no se aprovecha de la misma función y permitiría a un código malicioso que que explote la vulnerabilidad ser capaz de interceptar de manera dinámica la actividad que realiza el usuario al presionar el ícono de cualquier aplicación para tomar control de esta acción y así lograr desplegar una falsa versión de prácticamente cualquier app en el dispositivo de la víctima.

Asimismo, según explicaron los investigadores, un código malicioso que se aproveche de este fallo será difícil de detectar por una solución de seguridad, por lo que representa una amenaza importante para el usuario final. A esto se suma que cerca del 90% de los usuarios de Android corren la versión 9.0 o anteriores en sus dispositivos, lo cual quiere decir que existen muchos equipos que, de no tener instalado el parche correspondiente, estarán expuestos a esta vulnerabilidad.

En cuanto al parche que mitiga este fallo, luego de ser reportada la vulnerabilidad a Google en diciembre de 2019, la compañía comunicó a principios de mayo que comenzó a lanzar un parche que corrige el problema.

Si bien puede resultar difícil de detectar este tipo de ataque, algunos comportamientos sospechosos que podrían alertar al usuario final pueden ser, por ejemplo, que una app en la cual ya ha iniciado sesión vuelva a requerir el ingreso de las credenciales de acceso, que aparezcan ventanas emergentes que no contengan el nombre de la app, solicitud de permisos innecesarios dadas las características de la aplicación que está abriendo, que aparezcan botones o enlaces en la interfaz de la app que no realizan ninguna acción una vez que son presionados, o que el botón para volver para atrás no realice esta acción.

Lecturas relacionadas: 

• Descienden las detecciones de malware en Android y crecen en iOS
• Cómo funciona el malware dirigido a dispositivos móviles