Exploit de Android Cloak and Dagger: roba contraseñas y registra pulsaciones de teclas

Investigadores del Instituto de Tecnología de Georgia y la Universidad de California, Santa Bárbara, han publicó un informe indicando varias vulnerabilidades encontradas con los sistemas operativos Android Lollipop, Marshmallow y Nougat.

Según los investigadores, las aplicaciones maliciosas tienen la capacidad de explotar dos permisos en Play Store: el "dibujar en la parte superior" y el "servicio de accesibilidad".

Los usuarios pueden ser atacados utilizando una de estas vulnerabilidades o ambas. El atacante puede hacer clic, grabar pulsaciones de teclas, robar el PIN de seguridad del dispositivo, insertar adware en el dispositivo y también transmitir tokens de autenticación de dos factores.

Lea también: 5 consejos para evitar que su dispositivo Android sea atacado por ransomware.

“Cloak & Dagger es una nueva clase de ataques potenciales que afectan a los dispositivos Android. Estos ataques permiten que una aplicación maliciosa controle por completo el ciclo de retroalimentación de la interfaz de usuario y se apodere del dispositivo, sin darle al usuario la oportunidad de notar la actividad maliciosa”, señalaron los investigadores.

Esta vulnerabilidad también había sido expuesta anteriormente

A principios de este mes, tuvimos informó sobre una vulnerabilidad no reparada similar en el sistema operativo Android que usaría el permiso 'System_Alert_Window' usado para 'dibujar en la parte superior'.

Anteriormente, este permiso, System_Alert_Window, tenía que ser otorgado manualmente por el usuario, pero con el advenimiento de aplicaciones como Facebook Messenger y otras que usan ventanas emergentes en pantalla, Google lo otorga al defecto.

Aunque la vulnerabilidad, si se explota, puede conducir a un ataque de ransomware o adware completo, no será fácil de iniciar para un hacker.

Este permiso es responsable del 74% de Secuestro de datos, el 57 % de los programas publicitarios y el 14 % de los ataques de malware bancario en dispositivos Android.

Todas las aplicaciones que descarga de Play Store se analizan en busca de códigos maliciosos y macros. Entonces, el atacante tendrá que eludir El sistema de seguridad incorporado de Google para obtener acceso a la tienda de aplicaciones.

Google también actualizó recientemente su sistema operativo móvil con un capa adicional de seguridad que escanea todas las aplicaciones que se descargan en el dispositivo a través de Play Store.

¿Es seguro usar Android en este momento?

Las aplicaciones maliciosas que se descargan de Play Store obtienen los dos permisos mencionados automáticamente, lo que permite a un atacante dañar su dispositivo de las siguientes maneras:

• Ataque de cuadrícula invisible: el atacante dibuja una superposición invisible en el dispositivo, lo que le permite registrar las pulsaciones de teclas.
• Robar el PIN del dispositivo y operarlo en segundo plano incluso cuando la pantalla está apagada.
• Inyectar adware en el dispositivo.
• Explorar la web y phishing sigilosamente.

Los investigadores contactaron a Google acerca de las vulnerabilidades encontradas y confirmaron que, aunque la empresa implementó correcciones, no son infalibles.

La actualización deshabilita las superposiciones, lo que evita el ataque de cuadrícula invisible, pero el secuestro de clics sigue siendo una posibilidad como estos permisos pueden ser desbloqueados por una aplicación maliciosa usando el método de desbloqueo del teléfono incluso cuando la pantalla está encendida apagado.

El teclado de Google también recibió una actualización que no evita el registro de pulsaciones de teclas, pero asegura que las contraseñas no se se filtró como cada vez que se ingresa un valor en un campo de contraseña, ahora el teclado registra las contraseñas como un "punto" en lugar del real personaje.

Pero también hay una forma de evitar esto que los atacantes pueden aprovechar.

“Dado que es posible enumerar los widgets y sus códigos hash que están diseñados para ser pseudo únicos, el los códigos hash son suficientes para determinar en qué botón del teclado hizo clic el usuario”, dijeron los investigadores. señaló

Lea también: 13 interesantes funciones de Android que se aproximan desveladas por Google.

Todas las vulnerabilidades que ha descubierto la investigación siguen siendo propensas a un ataque a pesar de que la última versión de Android recibió un parche de seguridad el 5 de mayo.

Los investigadores enviaron una aplicación a Google Play Store que requería los dos mencionados permisos y mostró claramente una intención maliciosa, pero fue aprobado y todavía está disponible en Play Tienda. Esto demuestra que la seguridad de Play Store no funciona realmente tan bien.

¿Cuál es la mejor apuesta para mantenerse a salvo?

Verificar y deshabilitar ambos permisos manualmente para cualquier aplicación que no sea de confianza que tenga acceso a uno o ambos es la mejor opción.

Así es como puede verificar qué aplicaciones tienen acceso a estos dos permisos 'especiales' en su dispositivo.

• Turrón de Android: “dibujar en la parte superior” – Configuración –> Aplicaciones –> ‘Símbolo de engranaje (arriba a la derecha) –> Acceso especial –> Dibujar sobre otras aplicaciones
  'a11y': Configuración -> Accesibilidad -> Servicios: verifique qué aplicaciones requieren a11y.
• Malvavisco de Android: "dibujar en la parte superior" - Configuración -> Aplicaciones -> "Símbolo de engranaje" (arriba a la derecha) -> Dibujar sobre otras aplicaciones.
  a11y: Configuración → Accesibilidad → Servicios: verifique qué aplicaciones requieren a11y.
• Piruleta de Android:"dibujar en la parte superior" - Configuración -> Aplicaciones -> haga clic en la aplicación individual y busque "dibujar sobre otras aplicaciones"
  a11y: Configuración -> Accesibilidad -> Servicios: verifique qué aplicaciones requieren a11y.

Google proporcionará más actualizaciones de seguridad para resolver los problemas encontrados por los investigadores.

Lea también: Aquí está cómo eliminar el ransomware de su teléfono.

Si bien varias de estas vulnerabilidades se solucionarán con las siguientes actualizaciones, los problemas relacionados con el permiso de "dibujar en la parte superior" permanecerán hasta que se lance Android O.

Los riesgos de seguridad en Internet están creciendo a gran escala y, actualmente, la única forma de proteger su dispositivo es instalar un software antivirus confiable y ser un vigilante.

Última actualización el 03 febrero, 2022

El artículo anterior puede contener enlaces de afiliados que ayudan a respaldar a Guiding Tech. Sin embargo, no afecta nuestra integridad editorial. El contenido sigue siendo imparcial y auténtico.