Exploit de Android Cloak and Dagger: roba contraseñas y registra pulsaciones de teclas

Investigadores del Instituto de Tecnología de Georgia y la Universidad de California, Santa Bárbara, han publicado un informe que indica varias vulnerabilidades encontradas con los sistemas operativos Android Lollipop, Marshmallow y Nougat.

Según los investigadores, las aplicaciones maliciosas tienen la capacidad de explotar dos permisos en Play Store: el "sorteo en la parte superior" y el "servicio de accesibilidad".

Los usuarios pueden ser atacados usando una de estas vulnerabilidades o ambas. El atacante puede hacer clickjack, grabar pulsaciones de teclas, robar el PIN de seguridad del dispositivo, insertar adware en el dispositivo y también usar tokens de autenticación de dos factores.

Lea también: 5 consejos para evitar que su dispositivo Android sea golpeado por Ransomware.

"Cloak & Dagger es una nueva clase de posibles ataques que afectan a los dispositivos Android. Estos ataques permiten que una aplicación maliciosa controle completamente el circuito de retroalimentación de la interfaz de usuario y se haga cargo del dispositivo, sin darle al usuario la oportunidad de notar la actividad maliciosa ", señalaron los investigadores.

Esta vulnerabilidad también se había expuesto anteriormente

A principios de este mes, habíamos informado sobre una vulnerabilidad no corregida similar en el sistema operativo Android que usaría el permiso 'System_Alert_Window' utilizado para 'dibujar en la parte superior'.

Anteriormente, este permiso, System_Alert_Window, tenía que ser otorgado manualmente por el usuario, pero con el advenimiento de aplicaciones como Facebook Messenger y otras que usan ventanas emergentes en pantalla, Google lo otorga por defecto.

Aunque la vulnerabilidad, si se explota, puede conducir a un ataque de ransomware o adware completo, no será fácil para un hacker iniciarlo.

Este permiso es responsable del 74% del ransomware, el 57% del adware y el 14% de los ataques de malware bancario en dispositivos Android.

Todas las aplicaciones que descargue de Play Store se analizan en busca de códigos maliciosos y macros. Por lo tanto, el atacante tendrá que eludir el sistema de seguridad incorporado de Google para ingresar a la tienda de aplicaciones.

Google también actualizó recientemente su sistema operativo móvil con una capa adicional de seguridad que escanea todas las aplicaciones que se descargan en el dispositivo a través de Play Store.

¿Está usando Android seguro ahora?

Las aplicaciones maliciosas que se descargan de Play Store obtienen los dos permisos mencionados automáticamente, lo que permite que un atacante dañe su dispositivo de las siguientes maneras:

• Ataque de cuadrícula invisible: el atacante dibuja una superposición invisible en el dispositivo, lo que le permite registrar pulsaciones de teclas.
• Robar el PIN del dispositivo y operarlo en segundo plano incluso cuando la pantalla está apagada.
• Inyección de adware en el dispositivo.
• Explorando la web y phishing sigilosamente.

Los investigadores se pusieron en contacto con Google sobre las vulnerabilidades encontradas y confirmaron que aunque la compañía ha implementado soluciones, no son infalibles.

La actualización deshabilita las superposiciones, lo que evita el ataque invisible a la cuadrícula, pero Clickjacking sigue siendo una posibilidad, ya que estos permisos pueden ser desbloqueados por una aplicación maliciosa utilizando el método de desbloqueo del teléfono, incluso cuando la pantalla está apagada.

El teclado de Google también recibió una actualización que no impide el registro de pulsaciones de teclas, pero asegura que las contraseñas no se filtren, ya que cada vez que ingresa valor en un campo de contraseña, ahora el teclado registra las contraseñas como un 'punto' en lugar del carácter real.

Pero también hay una forma de evitar esto que los atacantes pueden explotar.

"Dado que es posible enumerar los widgets y sus códigos hash que están diseñados para ser pseudo-únicos, los códigos hash son suficientes para determinar qué botón del teclado realmente hizo clic el usuario", señalaron los investigadores.

Lea también: 13 características interesantes para Android que presenta Google.

Todas las vulnerabilidades que la investigación ha descubierto aún son propensas a un ataque, aunque la última versión de Android recibió un parche de seguridad el 5 de mayo.

Los investigadores enviaron una aplicación a Google Play Store que requería los dos permisos antes mencionados y mostraba claramente una intención maliciosa, pero fue aprobada y todavía está disponible en Play Store. Esto demuestra que la seguridad de Play Store no funciona realmente tan bien.

¿Cuál es la mejor apuesta para mantenerse a salvo?

Verificar y deshabilitar ambos permisos manualmente para cualquier aplicación no confiable que tenga acceso a uno o ambos es la mejor opción

Así es como puede verificar qué aplicaciones tienen acceso a estos dos permisos 'especiales' en su dispositivo.

• Android Nougat: " dibujar en la parte superior" - Configuración -> Aplicaciones -> 'Símbolo de engranaje (arriba a la derecha) -> Acceso especial -> Dibujar sobre otras aplicaciones

  'a11y': Configuración -> Accesibilidad -> Servicios: verifique qué aplicaciones requieren a11y.

• Android Marshmallow: "dibujar en la parte superior" - Configuración -> Aplicaciones -> "Símbolo de engranaje" (arriba a la derecha) -> Dibujar sobre otras aplicaciones.

  a11y: Configuración → Accesibilidad → Servicios: verifique qué aplicaciones requieren a11y.

• Android Lollipop: "dibujar en la parte superior" - Configuración -> Aplicaciones -> haga clic en la aplicación individual y busque "dibujar sobre otras aplicaciones"

  a11y: Configuración -> Accesibilidad -> Servicios: verifique qué aplicaciones requieren a11y.

Google proporcionará más actualizaciones de seguridad para resolver los problemas encontrados por los investigadores.

Lea también: Aquí se explica cómo eliminar el ransomware de su teléfono.

Si bien varias de estas vulnerabilidades se solucionarán mediante las siguientes actualizaciones, los problemas relacionados con el permiso 'dibujar en la parte superior' permanecerán hasta que se libere Android O.

Los riesgos de seguridad en Internet están creciendo a una escala masiva y actualmente, la única forma de proteger su dispositivo es instalar un software antivirus confiable y ser un vigilante.