Antivirus

Un fallo permite grabar conversaciones en móviles Android

También abre la puerta a hacer capturas de pantalla en el 77% de los dispositivos, según denuncia una firma de ciberseguridad. Google ha corregido esta vulnerabilidad en los teléfonos y tablets con Android 8.0 (Oreo)

Dos usuarios de móvil, en una imagen de archivo
Dos usuarios de móvil, en una imagen de archivolarazon

Un defecto de diseño en los dispositivos Android permite a los ciberdelincuentes realizar capturas de pantalla o de audio de forma remota sin el conocimiento de la víctima. El ataque se basa en el servicio MediaProjection de Android, una herramienta permite grabar sonido o hacer pantallazos con el permiso del usuario.

En esta ocasión, sin embargo, el ataque usa una táctica de pantalla falsa para engañar al usuario y que dé su consentimiento sin saberlo.

La denuncia la ha realizado el equipo de investigadores de Check Point, que afirman que a finales de noviembre Google sólo había corregido el problema en la versión 8.0 de Android (Oreo), dejando vulnerables las versiones 5.0, 6.0 y 7.0, que representan aproximadamente el 77,5% de los dispositivos que utilizan este sistema operativo.

El servicio afectado, MediaProjection, no tiene una ventana de permiso dedicada para pedir el permiso, como sí tienen otras aplicaciones de Android, por lo que cuando una aplicación intenta utilizarlo aparece un mensaje diferente, llamado ventana emergente SystemUI.

Mediante una aplicación los ciberdelincuentes pueden detectar cuándo está a punto de aparecer esta ventana, mostrar un mensaje falso superpuesto al de SystemUI y persuadir al usuario para que conceda el consentimiento sin saberlo, explican en CheckPoint.

Una vez que se ha engañado a la víctima, puede grabar la pantalla y el audio del dispositivo, convirtiéndolo en la herramienta de espionaje definitiva. El ataque no es completamente encubierto, ya que en la barra de notificación aparece una alerta de la actividad de grabación, pero es probable que la mayoría de los usuarios no lo relacionen con una amenaza.

Según explica la mencionada firma de seguridad en un comunicado, la segunda parte del ataque consiste en una táctica de superposición de pantalla, a menudo llamada "clickjacking", que es un método muy común utilizado por el malware móvil, especialmente el malware bancario y el ransomware. “Si bien Google ha hecho un esfuerzo significativo para acabar con esta táctica, sigue siendo una manera exitosa de engañar a los usuarios y obtener sus credenciales”, aclaran en Check Point.