Strandhogg 2.0, 1000 millones de dispositivos Android en peligro
Investigadores de ciberseguridad de Promon publicaron el pasado mes de Diciembre una vulnerabilidad (de nombre Strandhogg), que afectaba a sistemas Android y que ha sido aprovechada hasta la fecha por numerosas app maliciosas.
Ahora, meses después, sale a la luz con ID CVE-2020-0096 una nueva vulnerabilidad que haría posible lanzar una versión más sofisticada de ataque basado en Strandhogg usando esquemas de phishing.
El término Strandhogg procede de la costumbre vikinga de realizar raids o saqueos en las zonas costeras, para tomar a civiles presos y exigir un rescate por ellos.
La vulnerabilidad está presente en el sistema de multi-tarea de Android y podría ser utilizado por una aplicación maliciosa instalada en el dispositivo para que esta, haciéndose pasar por legítima, intente obtener permisos elevados del usuario.
Strandhogg podría robar SMS, códigos 2FA y credenciales
Se trataría de imitar un comportamiento legítimo para pedir al usuario que conceda los permisos suficientes a una aplicación infectada, de tal forma que pueda acceder a datos tales como:
- Acceso a la cámara
- Acceso al micrófono
- Obtención de ubicación en tiempo real
- Lectura de SMS
- Lectura de códigos 2FA
- Acceso a los credenciales introducidos
La vulnerabilidad hace posible que una app maliciosa solicite permisos elevados, haciéndose pasar por una app legítima. Un atacante podría solicitar acceso a SMS, imágenes, micrófono y GPS, permitiendo la lectura de mensajes, ver fotos espiar o seguir los movimientos de las víctimas.
Informe sobre Strandhogg
Puede interesarte – Análisis de Android AntiSpy
Respecto a la última variante, Strandhogg 2.0 (CVE-2020-0096), podemos destacar que afectaría a todos los dispositivos basados en Android excepto los que tengan Android Q/10. Nada menos que el 85% de los dispositivos Android podrían verse afectados.
Strandhogg 2.0 representra una vulnerabilidad de escalado de privilegios que permite conseguir acceso a casi cualquier parte del sistema. Mientras la versión 1.0 permitía atacar una app cada vez, la nueva versión permitiría atacar de forma dinámica casi cualquier aplicación en el terminal, de forma simultánea, con solo pulsar un botón.
Todo esto sería posible sin necesidad de un configuración previa en la aplicación a atacar. Si la víctima introduce entonce usuario y contraseñas estos serían capturados por la interfaz y compartidos con el atacante.
Promon
Usando Strandhogg 2.0 los atacantes podrían -una vez cuenten con una app infectada en el dispositivo- robar la información que ya hemos mencionado.
Lo que es peor, los usuarios no sabrán que están afectados porque este ataque puede explotarse sin necesidad de acceso root (super-usuario) y funciona en versiones de Android hasta Q/10.
Casos de uso
Algunos casos de uso de este ataque serían mediante integración con esquemas de phishing. Por ejemplo, pantallas de inicio de sesión falsas/manipuladas (fake login screen), obtención de ciertos niveles de información sensible denegación de servicio o recopilación de datos del terminal según la aplicación que suplanten: SMS, GPS, etcétera.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Lo que demuestra la importancia de tener los dispositivos, S.Os y software actualizados, aunque por desgracia, en el caso de los móbiles y en virtud de la política seguida tanto por operadoras como por fabricantes, no sea posible ya que muchos terminales llega un momento que ya no los actualizan y pocos son los que se atreven a meterle una ROM cocinada. Terminales que hoy en día podrían funcionar perfectamente con A10, se quedaron en el 8 o 9 por falta de soporte y no todo el mundo puede cambiar de móbil con tanta frecuencia.
Por eso desde hace años solo compro terminales con Android one. Saludos!