Image Image Image Image Image Image Image Image Image Image

GizTab | November 24, 2017

Scroll to top

Arriba

0

Tapjacking, el disfraz de apps Android maliciosas

Tapjacking, el disfraz de apps Android maliciosas

Las apps Android maliciosas se valen de muchos recursos para engañar a sus víctimas. Ahora expertos de Panda Security han alertado acerca del “tapjacking”, una nueva artimaña de la que se están valiendo los cibercriminales –a través de la descarga de aplicaciones– para hacerse con más víctimas.

En este sentido, desde Panda han explicado que dado al hecho de que la mayoría de los usuarios está atenta a los permisos que solicitan las aplicaciones antes de descargarse, los hampones de la Red se han aprovechado de una vulnerabilidad del sistema operativo de Google que permite camuflar actividades de apps Android maliciosas bajo la apariencia de una app normal: Por ejemplo, esconder la descarga de un ‘malware’ destinado a robar datos de tarjetas de crédito tras la máscara de un inofensivo videojuego, según explican.

Asimismo, los de Panda han reseñado que en febrero de este mismo año, Google incluyó en su lista de agradecimientos a dos investigadores, Stephan Huber y Siegfried Rasthofer, por su aportación a la seguridad de Android al descubrir la grieta, localizar varios ataques concebidos para aprovecharla y desarrollar un parche que pusieron a disposición de la multinacional.

“Mientras la solución llega a todos los dispositivos por medio de las actualizaciones del sistema, la única forma de evitar convertirse una víctima del ‘tapjacking’ es saber cómo funciona. Para el usuario, por desgracia, suele pasar desapercibido”, han apuntado los informantes.

Además de la descarga de ‘malware’ y la aprobación de permisos a ciegas, entre otras cosas, un atacante puede servirse del ‘tapjacking’ para robar contraseñas o realizar operaciones (incluso bancarias) en nombre del legítimo usuario, aprovechando la apariencia inofensiva de apps Android maliciosas.

Siguiendo con lo anterior, igualmente se ha conocido que aunque esas apps solicitan pocos permisos antes de instalarse, hay uno que necesariamente tienen que pedir: el permiso para mostrar ventanas de alerta del sistema, muy infrecuente en cualquier otro tipo de aplicaciones; por lo que si un usuario llega a toparse con ello, es prudente que desconfíe, consulte las valoraciones, lea las reseñas que otros usuarios han dejado en Google Play y confirme si se trata de un desarrollador de confianza.

En lo que respecta a cómo funciona el tapjacking, los de Panda han ilustrado con el ejemplo de un videojuego, en el que en la pantalla principal hay una opción de “Comenzar Partida” y sin saberlo, el usuario podría estar pulsando un botón de la auténtica interfaz, la que está camuflada, que lo redirige a la descarga de un malware. En la siguiente pantalla el usuario realiza otra acción inofensiva que lo lleva a aceptar los permisos que demanda a escondidas el programa malicioso.

La mecánica del ataque con una app Android maliciosa es mucho más sencilla de lo que podría parecer: Que las pulsaciones se transmitan de una interfaz visible a otra que se oculta a sus espaldas es culpa de un tipo de notificaciones flotantes que los desarrolladores pueden emplear cuando programan una ‘app’ para Android.

Arleth In Vitanza

SPC Smartee POP, un smartwatch moderno y con buena relación calidad precio

23/11/2017 |

Un reloj inteligente y versátil que combina con distintos looks y ofrece funciones para optimizar tu tiempo: Administrar contactos, responder y rechazar llamadas telefónicas, monitorizar actividades físicas, controlar de forma remota la cámara y el reproductor de música del móvil.Entérate

Cámara Aukey 4K: Una cámara de acción buena, bonita y barata (opiniones)

09/11/2017 |

Tras una prueba rápida a la cámara Aukey 4K te dejamos nuestras opiniones para que decidas si merece la pena comprar o no está cámara de acción Aukey AC-LC2 Entérate

Microsoft Surface Pro 2017: Análisis y opiniones

03/11/2017 |

Tras la prueba a la Surface Pro 2017 de Microsoft te contamos nuestras opiniones sobre este equipo: ¿El mejor ordenador híbrido del año?Entérate

Facebook Iconfacebook like buttonTwitter Icontwitter follow button