Productos y Servicios PRODUCTOS Y SERVICIOS

La vulnerabilidad de Android “StrandHogg 2.0” permite que el malware asuma la identidad de cualquier aplicación

Investigadores han descubierto una vulnerabilidad de seguridad crítica en Android que los ciberdelicuentes podrían usar para “asumir la identidad” de aplicaciones legítimas para llevar a cabo ataques de phishing en el dispositivo.

Descubierta por la empresa noruega Promon, el error se llama “StrandHogg 2.0“, el nombre denota que se trata de un “gemelo malvado” similar a otra del mismo nombre descubierta por la misma empresa el año pasado.

Strandhogg es, aparentemente, la antigua palabra nórdica para la táctica vikinga de navegar hasta las ciudades costeras y saquearlas, lo que no es una mala descripción de lo que la vulnerabilidad podría ser capaz si se usara en un ataque real.

Promon, no profundiza en el funcionamiento interno del fallo con gran detalle, pero el malware que lo explota podría superponer una versión maliciosa de cualquier aplicación sobre la aplicación real, capturando todos los inicios de sesión a medida que los realiza el usuario.

Los usuarios tocan el icono de la aplicación legítima y piensan que están iniciando sesión en su correo electrónico, por ejemplo, cuando en realidad están iniciando sesión en una interfaz controlada por un atacante.

Los atacantes necesitan saber de antemano a qué aplicaciones apuntan, pero pueden suplantar varias aplicaciones en un solo ataque sin necesidad de rootear, privilegios de administrador o permisos especiales, dijo Promon.

Promon afirma que el código utilizado en el ataque se ofuscaría lo suficiente como para que pueda pasar las capas de seguridad de Google Play y las aplicaciones de seguridad del dispositivo, lo que dificulta su detección.

Debido a que este ataque es tan difícil de detectar y que puede robar casi cualquier cosa en un dispositivo (datos GPS, imágenes, inicios de sesión, mensajes SMS y correos electrónicos, registros telefónicos, etc.) existe la posibilidad de que pueda ser interesante para los grupos de ciberdelincuentes patrocinados por estados nacionales y delincuentes con fines de lucro.

Promon predice que los atacantes buscarán utilizar StrandHogg y StrandHogg 2.0 juntos porque ambas vulnerabilidades están en una posición única para atacar dispositivos de diferentes maneras.

¿A quién afecta?

Cualquiera que ejecute versiones de Android 9.0 o anteriores: la única versión de Android que no se ve afectada por Strandhogg 2.0 es la versión 10, actualmente instalada solo en una pequeña cantidad de teléfonos.

Reportado a Google en diciembre pasado, la empresa parcheó lo que ahora se identifica como CVE-2020-0096 en la reciente actualización de Android de mayo.

No está clara la efectividad de las mitigaciones, lo que le da una importancia especial a la reparación de este defecto. Desafortunadamente, los únicos teléfonos que definitivamente las han recibido son los propios dispositivos Pixel de Google.

Si tu  smartphone Android está fabricado por un tercero, los parches para Android 8 y 9 pueden aparecer desde cualquier momento a varios meses (las versiones potencialmente vulnerables anteriores a 8 y 9 ya no reciben parches).

Los usuarios pueden verificar el estado de su actualización a través de Configuración> Acerca del teléfono y buscando el mes mencionado en el nivel del parche (mayo de 2020 es el último). Desde la versión 10, la misma información se encuentra en Configuración> Seguridad.

Lo más probable es que el último parche sea de dos a seis meses atrás. La buena noticia es que, a diferencia de StrandHogg 1.0, no hay evidencia de que los hackers hayan descubierto o explotado esta vulnerabilidad.

El riesgo planteado por esta vulnerabilidad actualmente es probablemente bajo. Lo que enfatiza su existencia es la urgencia de mejorar el parcheo de los dispositivos Android, incluido el problema complicado y aún por resolver de lo que sucede cuando los dispositivos que no son de Google dejan de recibir actualizaciones después de dos años.

Actualmente, nadie lo sabe, un enfoque defectuoso cuyos riesgos a largo plazo aumentan con cada versión de Android que pasa.

Nota: La pequeña cantidad de modelos de Android que utilizan la plataforma Android One original (los 7.2 de Nokia, One Vision de Motorola y algunos otros) reciben dos años de actualizaciones de funciones pero tres años de actualizaciones de seguridad.