Investigadores de la firma de seguridad noruega Promon han descubierto una nueva elevación de vulnerabilidad de privilegios Android que permite a los piratas informáticos acceder a casi todas las aplicaciones.

Este error de Android bautizado como «StrandHogg 2.0«(CVE-2020-0096) ataca un dispositivo mostrando una interfaz falsa, que engaña a los usuarios para dar información sensible que incluye mensajes y fotos privadas, robar las credenciales de inicio de sesión de las víctimas, hacer un seguimiento de los movimientos GPS, hacer y / o grabar un teléfono conversaciones y espionaje a través de la cámara y el micrófono de un teléfono.

A diferencia de los infames Vulnerabilidad de StrandHogg que permitía que las aplicaciones maliciosas secuestraran la función multitarea de Android y «asumieran libremente cualquier identidad del sistema de multitarea que deseen», el nuevo defecto de StrandHogg 2.0 es una elevada vulnerabilidad de privilegios que permite que el malware acceda a casi todas las aplicaciones de Android.

«Si la víctima introduce sus credenciales de inicio de sesión dentro de esta interfaz, estos datos sensibles se envían inmediatamente al atacante, que puede iniciar sesión y controlar aplicaciones sensibles a la seguridad», dice Promon.

Sin embargo, a diferencia de StrandHogg que sólo puede atacar aplicaciones de una en una, StrandHogg 2.0, siendo el gemelo más astuto, ha aprendido a atacar dinámicamente casi cualquier aplicación de un dispositivo determinado con los recursos adecuados para aplicación por aplicación. tocar un botón «.

Lo que empeora aún es que StrandHogg 2.0 es «casi indetectable», lo que hace más difícil la detección de los antivirus y los escáneres de seguridad y, como tal, supone un peligro importante para el usuario final.

Promon predice que los atacantes intentarán utilizar tanto StrandHogg como StrandHogg 2.0 juntas, porque ambas vulnerabilidades se encuentran en una posición única para atacar dispositivos de maneras diferentes, y hacerlo aseguraría que el área objetivo sea lo más amplia posible.

Del mismo modo, muchas de las mitigaciones que se pueden ejecutar contra StrandHogg no se aplican a StrandHogg 2.0 y viceversa.

Las explotaciones de StrandHogg 2.0 no afectan a los dispositivos que funcionan con Android 10. Sin embargo, con una proporción significativa de usuarios de Android que aún funcionan versiones anteriores (Android 9.0 y versiones posteriores) deja un gran porcentaje (91,8% de usuarios activos de Android) de la población global en riesgo.

Los investigadores de Promon han publicado una demostración de vídeo de StrandHogg 2.0 que muestra cómo funcionaría la explotación:

Promon notificó a Google sobre la vulnerabilidad el 4 de diciembre de 2019, lo que permitió a Google presentar un parche para el error. El gigante de la búsqueda emitió un parche a los socios del ecosistema Android durante abril de 2020 y para dispositivos que funcionaban con Android 8.0, 8.1 y 9.0.

Como muchos OEM no siempre publican estas actualizaciones para mantener sus dispositivos actualizados, esto pone en peligro millones de dispositivos.

«Vemos StrandHogg 2.0 como el gemelo aún más malvado de StrandHogg. Son similares en el sentido de que los piratas informáticos pueden explotar ambas vulnerabilidades para acceder a información y servicios muy personales, pero, a partir de nuestra amplia investigación, podemos ver que StrandHogg 2.0 permite a los piratas informáticos atacar de manera mucho más amplia, aunque ser mucho más difícil de detectar. «, Dijo Tom Lysemose Hansen, CTO y fundador de Promon.

«Los atacantes que quieran explotar StrandHogg 2.0 probablemente ya serán conscientes de la vulnerabilidad original de StrandHogg y la preocupación es que, cuando se utilizan juntos, se convierte en una poderosa herramienta de ataque para actores maliciosos.

«Los usuarios de Android deberían actualizar los dispositivos con el firmware más reciente lo antes posible para protegerse de los ataques que utilizan StrandHogg 2.0. Del mismo modo, los desarrolladores de aplicaciones deben asegurarse de que todas las aplicaciones se distribuyen con el archivo medidas de seguridad adecuadas en su sitio con el fin de mitigar los riesgos de ataques a la naturaleza «.

Un portavoz de Google ha dicho que la compañía no ha encontrado ninguna evidencia de que el malware esté explotado activamente en estado salvaje hasta la fecha.

«Agradecemos el trabajo de los investigadores y hemos publicado una solución para el problema que identificaron», dijo el portavoz de Google.

Además, Google Play Protect, un servicio de detección de aplicaciones integrado en dispositivos Android, bloqueará las aplicaciones que intenten explotar la vulnerabilidad StrandHogg 2.0.

Promon aconseja a los usuarios que actualicen sus dispositivos Android con las actualizaciones de seguridad lanzadas recientemente lo antes posible para solucionar la vulnerabilidad.