A fines del año pasado, los investigadores de Promon descubrieron una vulnerabilidad en dispositivos Android a la que apodaron StrandHogg. Esta permitía diseñar ataques en los que software malicioso se hiciera pasar por aplicaciones más populares, como Facebook o Instagram, para solicitar nuevos permisos. Una vez concedido el acceso, el atacante podía tomar control del dispositivo.
No es inusual que las aplicaciones requieran otros permisos para ofrecer nuevas funcionalidades. Debido a esto, es poco probable que un usuario sospeche de tal solicitud y conceda los accesos requeridos. A continuación, el atacante puede acceder a todas las fotos, archivos y mensajes SMS almacenados en el disposivo, espiar al usuario, instalar malware adicional, etc.
Al momento de ser publicada, se habían identificado 36 aplicaciones maliciosas (explotando la falla) que ponían en riesgo las 500 aplicaciones más populares. Aunque no residían en Google Play Store, eran instaladas mediante otros programas maliciosos previamente instalados. La vulnerabilidad afectaba a todas las versiones de Android, incluyendo a la 10, y no requería proviliegios de root.
El gemelo malvado
El 26 de mayo, Promon publicó una nueva vulnerabilidad «aún más peligrosa, con ataques más difíciles de detectar». Clasificada como vulnerabilidad de severidad crítica, CVE-2020-0096 fue nombrada StrandHogg 2.0, debido a las similitudes con su predecesor.
La nueva falla es explotada mediante un ataque de reflejo (reflection attack), permitiendo que el malware asuma la identidad de prácticamente cualquier otra aplicación, permaneciendo a su vez completamente oculto. Esto da lugar a un rango mucho más amplio de ataques, más dificiles de detectar.
Solución: ¡actualizar!
Aunque esta nueva vulnerabilidad fue descubierta en diciembre de 2019, el anuncio fue coordinado con Google, otorgando tiempo suficiente para corregir la falla. En mayo de este año se publicó el boletín de seguridad de Android con detalles sobre la vulnerabilidad junto con las actualizaciones correspondientes.
IMPORTANTE: Estas vulnerabilidades se corrigen antes de ser publicadas*. Siempre se recomienda instalar las actualizaciones disponibles para protegerse contra estas fallas.
*Asumiendo que los investigadores tengan una política de publicación responsable y los fabricantes reaccionen acorde implementando soluciones. No se contemplan fallas de día 0.