Las apps Android maliciosas se valen de muchos recursos para engañar a sus víctimas. Ahora expertos de Panda Security han alertado acerca del “tapjacking”, una nueva artimaña de la que se están valiendo los cibercriminales –a través de la descarga de aplicaciones– para hacerse con más víctimas.
En este sentido, desde Panda han explicado que dado al hecho de que la mayoría de los usuarios está atenta a los permisos que solicitan las aplicaciones antes de descargarse, los hampones de la Red se han aprovechado de una vulnerabilidad del sistema operativo de Google que permite camuflar actividades de apps Android maliciosas bajo la apariencia de una app normal: Por ejemplo, esconder la descarga de un ‘malware’ destinado a robar datos de tarjetas de crédito tras la máscara de un inofensivo videojuego, según explican.
Asimismo, los de Panda han reseñado que en febrero de este mismo año, Google incluyó en su lista de agradecimientos a dos investigadores, Stephan Huber y Siegfried Rasthofer, por su aportación a la seguridad de Android al descubrir la grieta, localizar varios ataques concebidos para aprovecharla y desarrollar un parche que pusieron a disposición de la multinacional.
“Mientras la solución llega a todos los dispositivos por medio de las actualizaciones del sistema, la única forma de evitar convertirse una víctima del ‘tapjacking’ es saber cómo funciona. Para el usuario, por desgracia, suele pasar desapercibido”, han apuntado los informantes.
Además de la descarga de ‘malware’ y la aprobación de permisos a ciegas, entre otras cosas, un atacante puede servirse del ‘tapjacking’ para robar contraseñas o realizar operaciones (incluso bancarias) en nombre del legítimo usuario, aprovechando la apariencia inofensiva de apps Android maliciosas.
Siguiendo con lo anterior, igualmente se ha conocido que aunque esas apps solicitan pocos permisos antes de instalarse, hay uno que necesariamente tienen que pedir: el permiso para mostrar ventanas de alerta del sistema, muy infrecuente en cualquier otro tipo de aplicaciones; por lo que si un usuario llega a toparse con ello, es prudente que desconfíe, consulte las valoraciones, lea las reseñas que otros usuarios han dejado en Google Play y confirme si se trata de un desarrollador de confianza.
En lo que respecta a cómo funciona el tapjacking, los de Panda han ilustrado con el ejemplo de un videojuego, en el que en la pantalla principal hay una opción de “Comenzar Partida” y sin saberlo, el usuario podría estar pulsando un botón de la auténtica interfaz, la que está camuflada, que lo redirige a la descarga de un malware. En la siguiente pantalla el usuario realiza otra acción inofensiva que lo lleva a aceptar los permisos que demanda a escondidas el programa malicioso.
La mecánica del ataque con una app Android maliciosa es mucho más sencilla de lo que podría parecer: Que las pulsaciones se transmitan de una interfaz visible a otra que se oculta a sus espaldas es culpa de un tipo de notificaciones flotantes que los desarrolladores pueden emplear cuando programan una ‘app’ para Android.
Equipo de redacción de GizTab
