Las estadísticas anteriores nos hablan de un riesgo importante a la seguridad de los usuarios de los teléfonos inteligentes y especialmente a aquellos usando el sistema operativo Android, razón por la cual éste ha sido elegido como objeto de estudio. La historia ha demostrado que aquellos sistemas operativos con amplio rango de usuarios son los más propensos a recibir ataques por parte de los cibercriminales, un ejemplo es el famoso malware “ILOVEYOU” que en el año 2000 infectó aproximadamente 50 millones de computadoras corriendo Windows, provocando pérdidas millonarias.
Las vulnerabilidades son errores de programación cometidos durante el desarrollo de un software que pasan desapercibidos al programador y que inicialmente no representan un problema desde el punto de vista del usuario final, pero que los cibercriminales son capaces de detectar y que potencialmente permiten realizar un sin número de actividades no deseadas en los sistemas operativos corriendo estos softwares vulnerables; como acceder al sistema de archivos, alterar el comportamiento normal del sistema y en el caso más grave controlar el dispositivo atacado remotamente. Pero las vulnerabilidades no solo.se manifiestan por errores de programación, en algunos casos el propio diseño de estos programas es la causa de ellas. A veces simplemente no se consideró la validación de un dato o archivo de entrada y que al ser procesado, genera un comportamiento inesperado que termina siendo una vulnerabilidad explotable.
Aunque se piense que se requieren conocimientos altamente especializados en arquitectura de computadoras y sistemas operativos, en realidad en algunos casos solo es necesario saber utilizar el lenguaje de programación Java y tener conocimientos básicos sobre el framework de aplicaciones de Android, y esto se debe a que, como ya se demostró en la sección anterior, existen ciertas vulnerabilidades en la capa de aplicaciones de la arquitectura de Android que tienen un impacto moderado en la seguridad del SO. Para probar lo dicho en el anterior párrafo, en esta sección se mostrarán los resultados de una prueba de concepto h desarrollada en forma de app que se aprovecha de una vulnerabilidad en el sistema de instalación de aplicaciones descubierta por la compañía de seguridad Palo Alto Networks, nombrada por ellos como Android Installer Hijacking, y que afecta a la versión de Android Jelly Bean y anteriores.
A pesar de que en la anterior y siguiente pantalla se puede ver que la aplicación señuelo y el malware tienen nombres diferentes, esto es fácilmente configurable desde Android Studio y puede permitir que ambas apps muestren el mismo nombre durante su instalación, haciendo imposible para el usuario detectar que ha sido infectado con malware.
Una vulnerabilidad crítica en Android, apodada StrandHogg 2.0, fue recientemente descubierta y permitiría que apps maliciosas se hagan pasar por legítimas para robar información sensible de los usuarios al solicitar el ingreso de credenciales de acceso u otro tipo de información.
Se trata de una vulnerabilidad (CVE-2020-0096) de escalación de privilegios que afecta a todos los dispositivos que corran la versión 9.0 de Android (o anteriores) y puede ser explotada por un atacante sin necesidad de obtener acceso root. En este sentido, en caso de explotación un atacante podría llevar adelante varias acciones maliciosas en el equipo de la víctima, como escuchar a través del micrófono del equipo comprometido, tomar fotografías a través de la cámara, leer y enviar mensajes SMS, realizar llamadas telefónicas y/o grabar las conversaciones, robar credenciales, acceder a los archivos almacenados en el dispositivo, obtener información de la ubicación, acceder a la lista de contactos, así como las claves de acceso al teléfono.
El hallazgo de esta vulnerabilidad fue realizado por la compañía Promon, quien también había descubierto en 2019 la versión 1.0 de este fallo -aún sin parchear- que presenta características similares y que había sido explotado de manera activa por el troyano bancario BankBot.
En el caso de la primera versión de StrandHogg, la vulnerabilidad hacía uso de la funcionalidad taskAffinity para tomar el control de una aplicación a la vez en el equipo de la víctima y reemplazar la app legítima por una versión falsa. En el caso de StrandHogg 2.0, el fallo no se aprovecha de la misma función y permitiría a un código malicioso que que explote la vulnerabilidad ser capaz de interceptar de manera dinámica la actividad que realiza el usuario al presionar el ícono de cualquier aplicación para tomar control de esta acción y así lograr desplegar una falsa versión de prácticamente cualquier app en el dispositivo de la víctima.
