Un grupo de investigadores han dado a conocer una nueva serie de ataques sobre Android bautizados como Cloak and Dagger, y que podrían permitir al atacante tomar el control del dispositivo sin que el usuario tenga conocimiento de la actividad maliciosa.

Un grupo de cuatro investigadores del Instituto de Tecnología de Georgia y de la Universidad de California han publicado un estudio en el que alertan de una serie de vulnerabilidades en sistemas Android. El estudio realizado por los investigadores indica que estos ataques son prácticos y afectan a todas las versiones recientes de Android (incluida la última versión, Android 7. 1. 2), y aún no se han solucionado.

En un ataque real la capa supersuesta no se muestra

Los ataques solo requieren dos permisos, que en caso de que la aplicación se instale desde Play Store ni siquiera es necesario asignarlos explícitamente ni llegan a notificarse al usuario. Los ataques abusan de los permisos SYSTEM_ALERT_WINDOW ("draw on top") y BIND_ACCESSIBILITY_SERVICE ("a11y"). El primero de ellos actúa como Cloak (Capa) y el segundo como Dagger (Puñal). Algunos ataques solo requieren de uno de los permisos y otros la combinación de ambos.

Estos dos permisos pueden permitir a los atacantes dibujar una ventana que engañe a los usuarios para creer que están interactuando con las características legítimas de la aplicación. El programa malicioso funciona superpuesto para capturar las credenciales del usuario para el autor de malware, mientras que el permiso de accesibilidad introduce las credenciales en la aplicación real oculta debajo. Todo mientras funciona la aplicación que se visualiza por encima y oculta al usuario todo lo ocurrido por detrás.

Los posibles ataques incluyen "clickjacking" avanzado, grabación de pulsaciones del teclado sin restricciones, phishing silencioso, instalación silenciosa de aplicaciones con todos los permisos habilitados o desbloqueo de teléfono y acciones arbitrarias manteniendo la pantalla apagada.

La mejor ilustración de los efectos de los ataques se muestran en los videos publicados por los investigadores:

Invisible Grid Attack (Ataque de red invisible)

Context-aware/hiding Clickjacking + Silent God-mode Install Attack

(Clickjacking oculto y ataque de instalación silenciosa en modo Dios)

Stealthy Phishing Attack (Ataque de phishing sigiloso)

Más información:

Cloak and Dagger

http://cloak-and-dagger.org/

Cloak and Dagger: From Two Permissions to Complete Control of the UI Feedback Loop

http://cs.ucsb.edu/~yanick/publications/2017_oakland_cloakanddagger.pdf

Antonio Ropero

[email protected]

Twitter: @aropero