Los íconos de Android pueden ser explotados por hackers utilizando una falla para llevar al usuario a un sitio web de phishing al hacer clic - FireEye

FireEye ha informado que recientemente detectó una aplicación maliciosa de Android que podría modificar los íconos de otras aplicaciones en el teléfono inteligente o tableta Android del usuario. Una vez que modificaron los íconos, si y cuando eran clicados por el usuario del teléfono inteligente, el usuario sería enviado a un sitio web de phishing.

El informe del blog de FireEye escrito por los investigadores de seguridad Hui Xue, Yulong Zhang y Tao Wei dice que la aplicación maliciosa abusó de un conjunto de permisos para modificar la configuración del lanzador predeterminado de Android y los íconos.

El malware está abusando de un conjunto de permisos conocidos como “com.android.launcher.permission.READ_SETTINGS” y “com.android.launcher.permission.WRITE_SETTINGS.”

• *

Según los investigadores de FireEye, los dos permisos anteriores han sido clasificados durante mucho tiempo como “normales”, una designación dada a los permisos de aplicación que se consideran sin posibilidades maliciosas. Por lo tanto, estos permisos no están incluidos en el conjunto estándar de permisos que un usuario de Android debe ‘aceptar’ cuando instala una nueva aplicación.

• *

Esta designación “normal” dada por el sistema operativo Android es la brecha que los autores del malware utilizaron para escribir esta aplicación maliciosa en particular. Allí, la aplicación maliciosa “utilizó estos permisos normales” y reemplazó los íconos legítimos de la pantalla de inicio de Android por íconos falsos que apuntan a aplicaciones o sitios web de phishing,” escribieron.

• *

Los autores han dicho además que FireEye desarrolló un ataque de prueba de concepto utilizando la tableta Nexus 7 de Google que ejecuta la versión de Android 4.2.2 para mostrar que los íconos podrían ser modificados para enviar a las personas a otro sitio web. FireEye pudo eludir las verificaciones de seguridad de Google y pudo subir la aplicación que llamó ‘ThisIsATestApp’ a la tienda de Google Play, que eliminaron después de confirmar su prueba de concepto.

La tienda de Google Play, que verifica las aplicaciones en busca de problemas de seguridad, especialmente después de que aparecieron aplicaciones falsas en Google Play, consideró la aplicación como legítima y la publicó en Google Play. FireEye agregó que nadie descargó la aplicación de prueba de concepto durante el breve momento en que estuvo listada en Google Play Store.

• *

FireEye proporcionó a Google la prueba de concepto sobre esta falla en el mes de octubre de 2013 y Google emitió un parche en febrero de 2014 para superar esta falla, dice FireEye. Google emitió el parche a todos sus socios OEM, ya que esto debe incluirse en la actualización misma, pero FireEye dice que no todos los OEM son lo suficientemente rápidos para actualizar y actualizar los parches de seguridad. Esto significa que varios teléfonos inteligentes Android que funcionan con el ROM de stock aún son vulnerables a esta aplicación maliciosa.

• *

FireEye dice que incluso los ROM personalizados disponibles en todo el mundo tratan los permisos anteriores como legítimos, lo que hace que incluso los teléfonos inteligentes Android que ejecutan CyanogenMod sean vulnerables a este ataque. FireEye probó un Nexus 7 que ejecuta el ROM personalizado de CyanogenMod, así como un Samsung Galaxy S4 que ejecuta Android 4.3 y un HTC One que ejecuta 4.4.2. Todos clasifican los permisos “read_settings” y “write_settings” como normales.

• *

FireEye ha instado a cada proveedor de Android a actualizar la versión OEM de Android con el parche de seguridad. El verdadero peligro es que los atacantes podrían modificar el ícono de una aplicación bancaria y engañar a los usuarios para que divulguen información sensible como sus credenciales de cuenta bancaria en un sitio web falso que han creado.

Recurso: Blog de FireEye