Si tienes un Pixel 4 o en adelante, puedes disfrutar desde hace unos días de Android 13, la última versión del sistema operativo de Google. Entre sus novedades encontramos su nuevo lenguaje visual Material You, mejoras en la conectividad gracias a Bluetooth LE y muchas nuevas funciones centradas en la seguridad y privacidad del usuario, entre otras cosas. No obstante, aunque la compañía haya fortificado aún más su sistema, sigue con algunos agujeros, y algunos ya los han detectado.
El permiso de accesibilidad le ha dado más de un quebradero de cabeza a Google y a sus usuarios. Era la puerta de entrada de Flubot, el troyano tras la estafa del SMS, y múltiples apps que inyectan código malicioso se han aprovechado de este permiso para controlar al completo nuestro teléfono móvil. Aunque en Android 13 este permiso ha sido mejorado, hay quien ha conseguido vulnerarlo de nuevo mediante un método más sofisticado.
El permiso de accesibilidad vuelve a dar guerra en Android 13
Cuando instalamos una aplicación en un teléfono Android, éstas necesitan ciertos permisos concedidos por el usuario y el sistema para realizar ciertas funciones. Uno de estos permisos es el de accesibilidad, una herramienta de Android pensada para que usuarios con ciertos impedimentos físicos o sensoriales puedan interactuar con el teléfono. Sin embargo, al habilitar este permiso, la app puede llegar a ver, tocar y recoger todos los datos de la pantalla, algo que le viene de perlas a cualquier hacker con fines delictivos.
Con la llegada de Android 13, Google restringió algunos aspectos de este permiso. Y es que el sistema ahora detecta si una app se ha instalado desde una tienda de apps o desde fuera de ella. De esta forma, si se ha instalado de manera externa, se bloqueará la opción de darle permiso de accesibilidad.
Claro, esta limitación viene muy bien para proteger el dispositivo de aplicaciones que se instalan fuera de las tiendas de aplicaciones por medio del sideloading. Pero ¿qué pasa si se logra burlar esta restricción modificando la APK? Este es el tema que han tratado investigadores de Threatfabric, quienes han descubierto un nuevo malware al que han llamado BugDrop, una app que simula ser un lector de códigos QR.
Un método que engaña al sistema para vulnerar las restricciones
Nada más ejecutar la app, aparece un desplegable que pide el permiso de accesibilidad. Esto lo consigue a través de una modificación en el código de la APK, escondiendo el paquete ‘com.secpro.androidapkupdater‘. Dicho paquete logra engañar al sistema y le hace creer que lo que se ha instalado es una tienda de aplicaciones. De esta manera, si el usuario acaba aceptando el permiso de accesibilidad, la app acabaría teniendo el control total del dispositivo.
Este método se recicló de un malware antiguo que tenía la capacidad de instalar APKs en el teléfono. Si bien en Android 13 no es posible que una app de una tienda externa obtenga los permisos de accesibilidad, la app sí puede obtener este permiso si incluye en su código la utilización de una API basada en inicio de sesión. Esto se consigue a través de la cadena ‘com.example.android.apis.content.SESSION API PACKAGE INSTALLED’, siendo un método utilizado por las tiendas de apps.
De momento, este malware se encuentra en una fase temprana de desarrollo, y aún no se han descubierto aplicaciones que lo utilicen de manera activa. No obstante, todo apunta a que se tratará de un arma más del gran arsenal que los ciberdelincuentes pueden optar para vulnerar la seguridad de un dispositivo móvil.
(function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();
–
La noticia La versión final de Android 13 tiene solo unos días y ya hay un nuevo malware: la pesadilla del permiso de accesibilidad fue publicada originalmente en Genbeta por Antonio Vallejo .
