StrandHogg, vulnerabilidad en Android aprovechada in-the-wild por malware

Los investigadores de seguridad de Promon han anunciado el descubrimiento de una importante vulnerabilidad en Android, a la que han llamado StrandHogg (en referencia a la táctica vikinga de asaltar áreas costeras para saquear y retener a las personas en busca de rescate). Esta vulnerabilidad permitió a delincuentes informáticos desarrollar malware capaz de obtener nombres de usuarios y contraseñas.

StrandHogg es único porque permite ataques sofisticados sin la necesidad de rootear un dispositivo, utiliza una debilidad en el sistema multitarea de Android para realizar ataques que permiten que las aplicaciones maliciosas se enmascaren como cualquier otra aplicación en el dispositivo. Este exploit se basa en una configuración de control de Android llamada "taskAffinity" que permite que cualquier aplicación, incluidas las maliciosas, asuma libremente cualquier identidad en el sistema multitarea que desee.

"Tenemos pruebas contundentes de que los atacantes están explotando StrandHogg para robar información confidencial" dijo Tom Lysemore Hanson, de la firma.

La vulnerabilidad hace posible que una aplicación maliciosa solicite permisos mientras finge ser una aplicación legítima. Un atacante puede solicitar acceso a cualquier permiso, incluidos SMS, fotos, micrófono y GPS, lo que le permite controlar casi cualquier movimiento de la víctima. Los usuarios no son conscientes de que están dando permiso al atacante y no a la aplicación auténtica que creen que están utilizando.

Al explotar esta vulnerabilidad, una aplicación maliciosa instalada en el dispositivo puede engañar al usuario para que cuando se haga clic en el icono de una aplicación legítima, se muestre una versión maliciosa en la pantalla del usuario. Cuando la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz, los detalles sensibles se envían inmediatamente al atacante, quien luego puede iniciar sesión y controlar las aplicaciones sensibles a la seguridad.


Promon realizó una investigación sobre malware que podría explotar este grave defecto y descubrió que las 500 aplicaciones más populares están en riesgo, con todas las versiones de Android afectadas.


El estudio de Promon amplía significativamente la investigación realizada por la Universidad Penn State en 2015, donde los investigadores describieron teóricamente ciertos aspectos de la vulnerabilidad. Google, en ese momento, descartó la gravedad de la vulnerabilidad, pero Promon tiene evidencia tangible de que los delincuentes están explotando StrandHogg para obtener acceso a dispositivos y aplicaciones.

Fuente: Promon