El sistema operativo móvil de los de Mountain View vuelve a ser noticia y de nuevo el malware está presente en la información. Expertos en seguridad de la empresa Symantec han descubierto dos vías que los ciberdelincuentes están utilizando para esquivar la seguridad de las versiones 5.0 y 6.0 de Android y así lograr la instalación satisfactoria de malware.
Con anterioridad, los ciberdelincuentes se aprovechaban de la llamada a la función getRunningTasks() en la versiones previas a la 5.0 para llevar a cabo prácticas phishing, es decir, mostrar a los usuarios aplicaciones que se superponían a las legítimas, permitiendo de esta forma realizar el robo de las credenciales de acceso a los diferentes servicios.
Esta función se ha eliminado en todas las variantes de la versión 5 y 6, por lo que los propietarios de las amenazas se han visto obligados a investigar y encontrar alternativas, algo que según los responsables de seguridad de Symantec ya han conseguido. Además, no solo han encontrado una vía sino que son nada más y nada menos que dos y que según la compañía ya de seguridad ya se están utilizando en la actualidad.
Leyendo el /proc/ de Android
De entrada hay que decir que esta técnica funciona en Lollipop y Marshmallow pero no en N. Consiste en leer la información de este archivo ayudándose de un proyecto que se encuentra en GitHub que realiza esta tarea. El proyecto existente es legítimo pero los ciberdelincuentes han sabido dar la vuelta a la situación y valerse de este para obtener los procesos que se están ejecutando en el sistema.
Utilizando Usage StatsManager
En la segunda alternativa, los ciberdelincunetes se han ayudado de otro proyecto que se ha utilizado para demostrar cómo funciona el malware en el sistema operativo. UsageStatsManager contiene la información relacionada con el uso que se ha realizado y un historial con las aplicaciones que se han ejecutado en el sistema. Android.Bankosy y Android.Cepsohord utilizan este tipo de ataque, tal y como han confirmado desde la empresa de seguridad Symantec.
El truco para evitar ser víctima de las amenazas informáticas que hacen uso de estos ataques es no proporcionar nunca permisos de administrador, teniendo especial precaución si hacemos uso de un dispositivo rooteado. En la actualidad, los ciberdelincuentes están mostrando una versión falsa de Google chrome para que el usuario conceda estos permisos y así proceder a la realización del ataque cuya finalidad no es otra que conseguir las credenciales de acceso a los diferentes servicios.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
