StrandHogg: un nuevo fallo en Android que permite robar datos personales

Recientemente en todas las versiones de Android, incluida Android 10, se ha encontrado un fallo que permitiría que una determinada aplicación pueda sobreponerse a otras engañando al usuario. ‘Promon‘, firma noruega especializada en seguridad «In-app», ha sido la encargada de sacar a la luz el fallo. La vulnerabilidad es explotada gracias a aplicaciones maliciosas que se valen de la ‘multi-tarea’ de Android para conseguir robar datos. El fallo ha sido bautizado como ‘StrandHogg‘.

StrandHogg

¿Cómo funciona StrandHogg?

Vamos a explicarlo con más detalle:

  • Descargamos una aplicación que esconde el malware dentro del código. (Como por ejemplo una aplicación de meteorología).
  • Con la aplicación maliciosa instalada, al abrir una aplicación con login tipo Facebook, Twitter, o una aplicación bancaria, la aplicación maliciosa se superpone a la originalmente abierta y nos muestra una pantalla de Login idéntica a la app que queríamos abrir. Nos pedirá permisos de acceso a nuestros archivos, SMS, GPS, cámara y micrófono. Tras introducir nuestras credenciales, estas son enviadas al atacante y seguidamente se nos redirige a la aplicación original para que el usuario no sospeche nada. De este modo, el usuario sigue el curso ‘normal’ al abrir su aplicación, pero mientras tanto el atacante ya dispone de las credenciales y el acceso a nuestro dispositivo.

Dicho malware se ha estado utilizando principalmente para el robo de información bancaria. Un total de 60 entidades bancarias han sufrido el ataque a través de los dispositivos de sus clientes.

¿Qué puede hacer un atacante?

  • Esuchar a través del micrófono
  • Hacer fotos con la cámara
  • Leer y enviar SMS
  • Hacer o grabar conversaciones telefónicas
  • Robar credenciales de otras cuentas
  • Acceder a los archivos del dispositivo
  • Acceder a la información proporcionada por el GPS
  • Accerder a la lista de contactos
  • Acceder a los registros del dispositivo

¿Cómo sé si mi dispositivo está comprometido?

Te reirás, pero no hay método específico para detectar la explotación del fallo. Los usuarios más ‘avispados’ se darán cuenta de ciertas acciones que no deberían producirse. Entre otras, estas pueden ser:

  • Una app o servicio en el que ya habías iniciado sesión te está pidiendo que lo hagas de nuevo
  • Aparecen Pop-ups ‘sin título de aplicación’ pidiendo permisos
  • Se piden permisos sin sentido. Una aplicación de ‘calculadora’ no debería pedir permisos sobre el GPS
  • Errores tipográficos en determinadas pantallas de Login
  • Botones y enlaces en la interfaz de usuario que no hacen nada ni te llevan a ningún lado
  • El botón ‘atrás’ no funciona como debería

Como recomendación básica y que siempre damos a nuestros usuarios: No descargues nada que no provenga de Google Play. Si bien es verdad que algunas aplicaciones maliciosas se han colado en el mercado de aplicaciones de Google, este sigue siendo el lugar más fiable y seguro para la obtención de nuevas apps.

via Promon

Mario Camí

Desarrollador de aplicaciones Android. Amante de todo lo Open Source, de los videojuegos y nuevas tecnologías. En mi tiempo libre comparto todo lo aprendido y lo que aprendo en el desarrollo de Android a modo de artículo en el blog. La información nos hará libres!

También te podría gustar...

Veces compartido
¡No te pierdas ningún artículo!

Suscríbete a nuestro newsletter semanal y serás el primerio en enterarte de todo el nuevo contenido del blog.