Una nueva vulnerabilidad para Android, denominada Cloak and Dager, ha sido descubierta por el Instituto de Tecnología de Georgia, la cual hace que sea más fácil para los ciberatacantes hacer pasar las aplicaciones infectadas con un trojano como legítimas.

Según GIT, no es resultado de un error tradicional, sino de la combinación maliciosa de dos permisos legítimos. Estos respaldan las características comúnmente utilizadas en las aplicaciones populares. La primera función de permisos admite el uso de dispositivos por personas discapacitadas, permitiendo que entradas como el nombre de usuario y la contraseña se realicen por comando de voz o que salidas tales como un lector de pantalla ayuden al contenido de visualización deshabilitado. La segunda es una función de superposición o "draw-on-top" que produce una ventana en la parte superior de la pantalla habitual del dispositivo para mostrar burbujas para un programa de chat o mapas para una aplicación de viaje compartido.

La vulnerabilidad permitiría a los ciberatacantes usar una aplicación "troyanizada" para tomar silenciosamente el control de un dispositivo móvil. A partir de ahí, pueden superponer la interfaz gráfica con información falsa, mientras que las actividades maliciosas corren por debajo, como capturar contraseñas o extraer los contactos del usuario.

"En Cloak and Dagger, identificamos dos características diferentes de Android que cuando se combinan, permiten a un ciberatacante leer, cambiar o capturar los datos introducidos en aplicaciones móviles populares", dijo Wenke Lee, profesor de la Escuela de Informática de Georgia Tech y co-Director del Instituto de Seguridad de la Información y Privacidad, en un comunicado sobre la investigación. "Las dos características involucradas son muy útiles en las aplicaciones de mapas, chat o de administrador de contraseñas, por lo que evitar su uso indebido requerirá que los usuarios intercambien comodidad por seguridad. Es un ataque tan peligroso como podríamos describir".

La mayor preocupación para los investigadores de Georgia Tech es que estos permisos pueden incluirse automáticamente en aplicaciones legítimas de Google Play Store, lo que significa que los usuarios no necesitan conceder permisos explícitamente para que el ataque tenga éxito. Casi 10% de las 5,000 aplicaciones de Android más utilizadas utilizan la función de superposición, señaló Fratantonio, y muchas se descargan con la característica de accesibilidad activada.

Los investigadores probaron un ataque simulado contra 20 usuarios de dispositivos móviles Android y encontraron que ninguno de ellos notó el ataque.

Los investigadores de Georgia Tech han revelado el potencial ataque a Google, pero señalaron que debido a que el problema involucra dos características comunes que pueden ser mal utilizadas incluso cuando se comportan como se pretende, el problema podría ser más difícil de resolver que los errores del sistema operativo ordinario.

"Cambiar una característica no es como arreglar un error", dijo Yanick Fratantonio, el primer autor del artículo. "Los diseñadores de sistemas ahora tendrán que pensar más en cómo las características aparentemente no relacionadas podrían interactuar. Las funciones no funcionan por separado en el dispositivo".

Winston Bond, director técnico de EMEA en Arxan Technologies, señaló en un correo electrónico que el descubrimiento demuestra una vez más cuán peligrosas pueden ser las aplicaciones dañadas o maliciosas.

"Las aplicaciones que se han roto y la ingeniería inversa son un vector crucial para la entrega de malware utilizado para iniciar este tipo de métodos de ataque avanzado, lo que permite al ciberatacante colocar secretamente minas de datos sensibles durante largos periodos", dijo. "Tradicionalmente se ha dicho a los usuarios que estarán seguros siempre y cuando descarguen aplicaciones de fuentes oficiales y no pirateen software, pero hemos visto cada vez más casos de aplicaciones maliciosas que se descargan desde tiendas de aplicaciones o sitios web oficiales".

En otras palabras, los desarrolladores ya no pueden confiar en las tiendas de aplicaciones oficiales para proteger a sus usuarios.

"Los desarrolladores necesitan defender proactivamente su software de cibercriminales que tratan de manipular su código y convertirlo en un arma", señaló Bond. "Las técnicas defensivas como la ofuscación del código y la detección del depurador, que protegerán el código importante y cerrarán la aplicación si se manipula, deben convertirse en una práctica estándar ya que los ciberatacantes encuentran formas cada vez más inventivas de usar aplicaciones como armas".

Las versiones de Android anteriores hasta la actual 7.1.2 son vulnerables a este ataque, dijeron los investigadores.