El nuevo malware está infectando a más del 90% de los dispositivos Android

Los investigadores han descubierto una forma relativamente nueva de malware de Android que roba credenciales utilizando la vulnerabilidad de actividad. nombrado como StrandHogg 2.0, los atacantes aquí están explotando Context.startActivities () Método API, para iniciar su aplicación maliciosa y solicitar credenciales. Los investigadores dicen que los usuarios de Android desde la versión 3 a la versión 9 son vulnerables a este exploit.

Fuente de la imagen – Promon

Más del 90% de los androides son vulnerables

El malware de Android se escapa fácilmente y, a menudo, es difícil de detectar. StrandHogg 2.0 es un malware que infecta los teléfonos Android para robar datos. Los investigadores de Promon han descrito que este malware puede afectar a los androides desde Panal (v3) por Pie de Android (v9). Bueno, los investigadores no están seguros de si los usuarios de Android 10 están seguros.

StrandHogg 2.0
StrandHogg 2.0

Al descubrir la vulnerabilidad que están explotando, los investigadores le pidieron a Google que la eliminara. Y pasó el último Parche de nivel de seguridad de Android en mayo de 2020 para cerrar dicha vulnerabilidad. Pero, solo se envía para Android 8, 8.1 y 9. Esto deja vulnerables a otros Androides más antiguos y a aquellos que no se han arreglado. Y para los desarrolladores de ROM personalizados, hay ASOP se compromete para prevenir este malware.

Explotar un recurso legítimo

Mientras Promon espera completar el período de divulgación responsable de 90 días, hay algo que podemos saber sobre cómo funciona este malware. Como Desarrolladores XDA explicado usando Gmail como ejemplo, StrandHogg 2.0 usa la actividad de la aplicación para explotar la API Context.startActivities () y robar datos.

Esto comienza cuando el usuario abre una aplicación maliciosa, que puede haber descargado de varias fuentes desconocidas. Por lo tanto, este malware se ejecuta en segundo plano y muestra que el servicio legítimo sigue siendo genuino. Por ejemplo, abre la aplicación Gmail o cualquier otra aplicación para su uso. Y de repente, el malware que se ejecuta desde atrás abrirá su página de inicio de sesión de Gmail y le pedirá que inicie sesión nuevamente, citando que se agotó el tiempo de espera de la sesión o algo más.

Pero esta es una página de phishing para robar sus credenciales ingresadas, que luego se pueden usar para varios ataques como la suplantación de identidad. Los investigadores dicen que deshabilitar Context.startActivities () no funcionará, ya que tiene propósitos más legítimos que el uso de exploits. Por lo tanto, se recomienda a los usuarios que actualicen a los últimos parches de seguridad lanzados por su OEM o Google que mitiguen esta vulnerabilidad.

A través de la: Desarrolladores XDA – Fuente: promon