Vulnerabilidad global en Android podría robar datos bancarios y de billetera

Una vulnerabilidad recién descubierta, llamadaStrandHoggPodría permitir a los hackers acceder a datos privados en casi cualquier teléfono Android y ya se ha utilizado para acceder a información bancaria. Documentado por una empresa de seguridad.PromonEl exploit afecta a todas las versiones de Android.

El exploit StrandHogg no es particularmente nuevo: los investigadores de seguridad conocían un prueba de conceptoVersión desde 2015. Una versión funcional, y potencialmente peligrosa, del exploit apareció recientemente, oculta dentro de un malware que se ha estado propagando por internet durante el último año. Promon creó unpágina informativapara el exploit después de descubrir lo extendido y peligroso que podría ser.

El exploit interrumpe el FLOW de una aplicación desde el inicio hasta la pantalla de bienvenida y obliga al usuario a otorgarle a un malware permisos poderosos antes de permitir que la aplicación legítima se ejecute.

Nuestros investigadores se centraron en describir la vulnerabilidad como tal, pero también colaboramos con Lookout Security, que aportó algunos datos escaneando sus conjuntos de datos de malware. Encontraron 36 aplicaciones maliciosas que explotan la falla, afirmó Lars Lunde Birkeland, director de Marketing y Comunicación de Promon.

"Probamos las 500 aplicaciones más populares y todas son vulnerables", dijo.

Todas las versiones de Android, incluida Android 10, están afectadas e incluso los teléfonos aparentemente seguros parcheados son supuestamente vulnerables según Promon.

Escondido a plena vista

El exploit funciona secuestrando una aplicación legítima al iniciarse en casi cualquier teléfono Android. En lugar de ir a la pantalla de bienvenida o a la página de inicio de sesión, el exploit permite que un malware muestre ventanas emergentes de permisos, que preguntan si la aplicación puede acceder a tus contactos, ubicación y datos almacenados. Al aprobar la Request, el malware recibe todos los permisos en lugar de la aplicación legítima, que continúa ejecutándose como si nada hubiera pasado.

La víctima hace clic en la aplicación legítima, pero en lugar de ser redirigida a ella, el malware engaña al dispositivo para que muestre una ventana emergente de permisos. La víctima otorga los permisos al malware y al atacante, y luego es redirigida a la aplicación legítima, explicó Birkeland.

Los investigadores descubrieron que un programa troyano llamadoBankBotusó el exploit para darse permisos poderosos que podían interceptar mensajes SMS, registrar pulsaciones de teclas, reenviar llamadas e incluso bloquear un teléfono hasta que pague un rescate, una preocupación para cualquiera que ejecute aplicaciones bancarias, financieras o de billetera en su teléfono.

"Es un troyano bancario muy conocido y presente en todos los países del mundo", afirmó Birkeland.

El exploit también puede mostrar una página de inicio de sesión falsa para algunas aplicaciones en algunos teléfonos Android, pero el exploit de permisos es mucho más común.

Un asunto serio

"La vulnerabilidad es bastante grave. Como atacante, puedes llevar a cabo ataques muy potentes", afirmó Birkeland.

Promon descubrió el malware cuando "varios bancos en la República Checa informaron sobre la desaparición de dinero de las cuentas de sus clientes", escribieron los investigadores.

A partir de aquí, mediante su investigación, Promon pudo identificar el malware que se utilizaba para explotar una peligrosa vulnerabilidad de Android. Lookout, socio de Promon, también confirmó la identificación de 36 aplicaciones maliciosas que explotan la vulnerabilidad. Entre ellas se encontraban variantes del troyano bancario BankBot, detectadas ya en 2017.

"Si bien Google ha eliminado las aplicaciones afectadas, hasta donde sabemos, la vulnerabilidad aún no se ha solucionado para ninguna versión de Android (incluido Android 10)", escribieron los investigadores.

¿Por qué se llama Strandhogg? Tiene que ver con las raíces suecas de la empresa.

Promon ha bautizado la vulnerabilidad como «StrandHogg», término nórdico antiguo que designaba la táctica vikinga de asaltar zonas costeras para saquear y secuestrar a personas a cambio de un rescate, escribieron los investigadores.

En un comunicado, un portavoz de Google afirmó: «Agradecemos el trabajo de los investigadores y hemos suspendido las aplicaciones potencialmente dañinas que identificaron. Google Play Protect detecta y bloquea aplicaciones maliciosas, incluidas las que utilizan esta técnica. Además, seguimos investigando para mejorar la capacidad de Google Play Protect para proteger a los usuarios contra problemas similares».