El error de StrandHogg 2.0 permite que el malware se haga pasar por una aplicación real y robe datos de los usuarios

Los investigadores de la firma de seguridad noruega Promon han descubierto una nueva vulnerabilidad de elevación de privilegios en Android que permite a los hackers acceder a casi todas las aplicaciones.

Este error de Android, denominado “StrandHogg 2.0” (CVE-2020-0096), ataca un dispositivo mostrando una interfaz falsa, lo que engaña a los usuarios para que entreguen información sensible que incluye mensajes SMS privados y fotos, el robo de credenciales de inicio de sesión de las víctimas, el seguimiento de movimientos GPS, la realización y/o grabación de conversaciones telefónicas, y el espionaje a través de la cámara y el micrófono del teléfono.

A diferencia de la infame vulnerabilidad de StrandHogg que permitía a las aplicaciones maliciosas secuestrar la función de multitarea de Android y “asumir libremente cualquier identidad en el sistema de multitarea que desearan”, el nuevo defecto de StrandHogg 2.0 es una vulnerabilidad de elevación de privilegios que permite al malware acceder a casi todas las aplicaciones de Android.

“Si la víctima ingresa sus credenciales de inicio de sesión dentro de esta interfaz, esos detalles sensibles se envían inmediatamente al atacante, quien puede luego iniciar sesión y controlar aplicaciones sensibles a la seguridad”, dice Promon.

Sin embargo, a diferencia de StrandHogg que solo puede atacar aplicaciones una a la vez, StrandHogg 2.0, siendo el gemelo más astuto, ha aprendido a, con los activos personalizados adecuados por aplicación, “atacar dinámicamente casi cualquier aplicación en un dispositivo dado simultáneamente con solo tocar un botón”.

Lo que lo hace aún peor es que StrandHogg 2.0 es “casi indetectable”, lo que dificulta que los antivirus y escáneres de seguridad lo detecten y, como tal, representa un peligro significativo para el usuario final.

Promon predice que los atacantes buscarán utilizar tanto StrandHogg como StrandHogg 2.0 juntos porque ambas vulnerabilidades están posicionadas de manera única para atacar dispositivos de diferentes maneras, y hacerlo aseguraría que el área objetivo sea lo más amplia posible.

De manera similar, muchas de las mitigaciones que se pueden ejecutar contra StrandHogg no se aplican a StrandHogg 2.0 y viceversa.

Los exploits de StrandHogg 2.0 no afectan a los dispositivos que ejecutan Android 10. Sin embargo, con una proporción significativa de usuarios de Android que se informa que aún están ejecutando versiones más antiguas (Android 9.0 y anteriores), deja a un gran porcentaje (91.8% de los usuarios activos de Android) de la población global en riesgo.

Los investigadores de Promon han publicado un video de demostración de StrandHogg 2.0 mostrando cómo funcionaría el exploit:

Promon notificó a Google sobre la vulnerabilidad el 4 de diciembre de 2019, lo que permitió a Google desarrollar un parche para el error. El gigante de búsqueda emitió un parche a los socios del ecosistema de Android durante abril de 2020 y para dispositivos que operan en Android 8.0, 8.1 y 9.0.

Desde entonces, muchos OEM no siempre lanzan estas actualizaciones para mantener sus dispositivos actualizados, lo que pone en riesgo a millones de dispositivos.

“Vemos a StrandHogg 2.0 como el gemelo aún más malvado de StrandHogg. Son similares en el sentido de que los hackers pueden explotar ambas vulnerabilidades para acceder a información y servicios muy personales, pero a partir de nuestra extensa investigación, podemos ver que StrandHogg 2.0 permite a los hackers atacar de manera mucho más amplia mientras es mucho más difícil de detectar”, dijo Tom Lysemose Hansen, CTO y fundador de Promon.

“Los atacantes que buscan explotar StrandHogg 2.0 probablemente ya estén al tanto de la vulnerabilidad original de StrandHogg y la preocupación es que, cuando se utilizan juntas, se convierte en una poderosa herramienta de ataque para actores maliciosos.

“Los usuarios de Android deben actualizar sus dispositivos al firmware más reciente lo antes posible para protegerse contra ataques que utilicen StrandHogg 2.0. De manera similar, los desarrolladores de aplicaciones deben asegurarse de que todas las aplicaciones se distribuyan con las medidas de seguridad adecuadas para mitigar los riesgos de ataques en la naturaleza.”

Un portavoz de Google ha mencionado que la compañía no encontró evidencia de que el malware estuviera siendo explotado activamente en la naturaleza hasta hoy.

“Agradecemos el trabajo de los investigadores y hemos lanzado una solución para el problema que identificaron”, dijo el portavoz de Google.

Además, Google Play Protect, un servicio de revisión de aplicaciones integrado en los dispositivos Android, bloqueará las aplicaciones que intenten explotar la vulnerabilidad de StrandHogg 2.0.

Promon aconseja a los usuarios que actualicen sus dispositivos Android con las actualizaciones de seguridad recientemente lanzadas lo antes posible para corregir la vulnerabilidad.