StrandHogg 2.0 - Una vulnerabilidad crítica en Android podría exponer credenciales bancarias, mensajes SMS y más

Samuel Bakken, 26 de Mayo de 2020

TechCrunch ha informado hoy de que una de las vulnerabilidades más graves incluidas en el boletín de seguridad de Android de mayo de 2020 (CVE-2020-0096) podría permitir a los atacantes acceder a los datos sensibles manejados o generados por casi cualquier app instalada en un dispositivo Android infectado. Todavía no se conoce ningún caso de explotación de esta vulnerabilidad en la naturaleza, pero como se puede imaginar, supone un riesgo para las aplicaciones de servicios financieros móviles y para los usuarios, afectando tanto a los dispositivos sin raíces como a los arraigados. Exploremos lo que significa esta vulnerabilidad para los desarrolladores de aplicaciones de servicios financieros y lo que pueden hacer para mitigar los riesgos para sus instituciones y usuarios finales.

¿Qué es StrandHogg 2.0 y qué daños puede causar?

Strandhogg 2.0
Fuente de la imagen https://promon.co/strandhogg-2-0/

El malware que aprovecha la vulnerabilidad StrandHogg 2.0, descubierta y divulgada por la empresa de seguridad Promon, puede hacerse pasar por otras aplicaciones instaladas en el mismo dispositivo Android. Los investigadores de Promon señalan que esta vulnerabilidad de iOS y Android está relacionada con la vulnerabilidad original de StrandHogg descubierta a finales de 2019. Sin embargo, debido a que es más difícil de detectar un ataque a la vulnerabilidad y puede ser utilizado para atacar varias aplicaciones simultáneamente, se cree que es más grave.

He aquí por qué los bancos deben tener en cuenta los riesgos asociados a StrandHogg 2.0:

  1. El malware aprovechado por los ciberdelincuentes puede solicitar permisos disfrazados de una aplicación legítima
  2. Si se le conceden esos permisos, la aplicación maliciosa puede acceder a información privada, como credenciales de acceso, mensajes SMS, fotos, localización GPS, conversaciones telefónicas y mucho más
  3. Cuando un usuario inicia una aplicación legítima de banca móvil, el malware puede insertar una pantalla de inicio de sesión falsa en la parte superior de esa aplicación para robar las credenciales del usuario

1.	El malware puede solicitar permisos disfrazado de una aplicación legítima
Fuente de la imagen
https://promon.co/strandhogg-2-0/

Por ejemplo, digamos que un usuario descarga una aplicación de notificación de exposición/rastreo de contactos COVID-19 de Google Play Store en un dispositivo infectado con un malware que aprovecha esta vulnerabilidad. Cuando el usuario inicia la aplicación COVID-19, el malware podría insertarse, secuestrar esa sesión y solicitar permisos como el GPS y la mensajería. El usuario puede sentirse cómodo concediendo esos permisos a lo que supone que es una aplicación legítima cuando en realidad ha concedido esas posiciones al malware.Esa información, en lugar de combatir la pandemia, podría ser reutilizada para ataques de phishing, ataques de ransomware u otras actividades maliciosas.

Para reiterar, hoy no se conocen ejemplos de campañas de malware que exploten esta vulnerabilidad en la naturaleza. Sin embargo, eso podría cambiar. Las apps maliciosas estaban explotando la vulnerabilidad original de StrandHogg a finales de 2019 para dirigirse a los usuarios de la banca móvil. Con más detalles sobre StrandHogg 2.0 ahora disponibles, los atacantes pueden iterar sobre las campañas anteriores para aumentar su eficacia.

Impacto de StrandHogg 2.0: Todas las versiones de Android son vulnerables excepto Android 10

Con un claro potencial de daño, la siguiente pregunta es: ¿qué parte de la población está expuesta? Afortunadamente, el sistema operativo Android, Android 10, no está afectado. Por desgracia, ni siquiera 1 de cada 10 usuarios de Android ha actualizado a Android 10. StandHogg 2.0 afecta a todas las demás versiones de Android (91,8% de los dispositivos).

Aquí hay un gráfico práctico que muestra el porcentaje de usuarios que utilizan las versiones afectadas del sistema operativo Android (una mayoría) basado en los datos de Android Studio a partir de abril de 2020.

porcentaje de usuarios que utilizan versiones afectadas del sistema operativo Android

Sí, Google publicó parches para Android 8, 8.1 y 9 como parte del boletín de seguridad de Android de mayo de 2020. Sin embargo, no hay garantía de que esos parches lleguen a todos los dispositivos móviles con Android 8, 8.1 o 9. Incluso así, el 40 por ciento de los usuarios de Android ejecutan Android 7.1 o anterior y siguen siendo vulnerables.

Vale, estoy suficientemente asustado. ¿Qué puedo hacer para protegerme de StrandHogg 2.0?

En primer lugar, los usuarios de Android deben actualizar su dispositivo a la última versión de Android. Lamentablemente, dependiendo del fabricante del dispositivo y del proveedor de servicios/operador del usuario, esto puede no ser posible. Por ello, los desarrolladores de aplicaciones, y especialmente los de servicios financieros móviles, deben tomar nota.
No hay una forma fiable de conocer el estado de seguridad exacto de los dispositivos móviles en los que funciona su aplicación móvil. Los desarrolladores no tienen forma real de saber si el dispositivo de un usuario está plagado de vulnerabilidades o comprometido con el malware. Por ello, la ciberseguridad avanzada, como el blindaje de aplicaciones y la protección en tiempo de ejecución que viaja con la aplicación para defenderla (y a sus usuarios) incluso en condiciones hostiles, es crucial para un enfoque completo y por capas de la seguridad de las aplicaciones móviles.

Blindaje de Aplicaciones Móviles
Whitepaper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

Sam es Director de Marketing de Producto responsable de la cartera de seguridad de aplicaciones móviles de OneSpan y tiene casi 10 años de experiencia en seguridad de la información.