A golpe de repetición, se nos ha metido en la cabeza que los permisos que solicitan las aplicaciones antes de instalarse hay que mirarlos detenidamente. Si piden algo que no parece concordar con la finalidad aparente de la ‘app’ (por ejemplo, una linterna que pretende usar tu GPS), mejor no dar el visto bueno salvo que el desarrollador transmita confianza.
Que una aplicación demande numerosos permisos no es indicador suficiente de que hay gato encerrado, pero sí un primer indicio relevante. La mayoría de los usuarios ya es consciente. Ahora miran los permisos con lupa, y los ciberatacantes han tenido que buscarse otras mañas para seguir haciendo de las suyas.
Una de las técnicas más peligrosas que están empleando se conoce como ‘tapjacking’ y aprovecha una vulnerabilidad del sistema operativo Android que permite camuflar actividades maliciosas bajo la apariencia de una ‘app’ normal. Por ejemplo, esconder la descarga de un ‘malware’ destinado a robar datos de tarjetas de crédito tras la máscara de un inofensivo videojuego.
En febrero de este mismo año, Google incluyó en su lista de agradecimientos a dos investigadores, Stephan Huber y Siegfried Rasthofer, por su aportación a la seguridad de Android al descubrir la grieta, localizar varios ataques concebidos para aprovecharla y desarrollar un parche que pusieron a disposición de la multinacional.
Mientras la solución llega a todos los dispositivos por medio de las actualizaciones del sistema, la única forma de evitar convertirse una víctima del ‘tapjacking’ es saber cómo funciona. Para el usuario, por desgracia, suele pasar desapercibido.
Cómo funciona el Tapjacking
Descargas una ‘app’, la abres, y literalmente debajo se ejecuta una segunda aplicación (maliciosa) que tú no puedes ver. Cuando pulsas un botón de la interfaz que se muestra en primer plano, en realidad estás pulsando un botón de la que está detrás, oculta en un segundo plano. Como su propio nombre indica, el ‘tapjacking’ secuestra tus pulsaciones y las vuelve en tu contra.
Imagina que se trata de un videojuego y en la pantalla principal hay una opción de “Comenzar Partida”. Sin saberlo, podrías estar pulsando un botón de la auténtica interfaz, la que está camuflada, que te redirige a la descarga de un ‘malware’. En la siguiente pantalla realizas otra acción inofensiva y, sin saberlo, aceptas los permisos que demanda a escondidas el programa malicioso al que has abierto las puertas de tu móvil.
En el siguiente vídeo tenemos un ejemplo de lo más evidente: el usuario pulsa “Start Now” para descargar fotos adorables de gatitos y, sin darse cuenta, otorga permisos al atacante para realizar capturas de pantalla.
Le mecánica del ataque es mucho más sencilla de lo que podría parecer. Que las pulsaciones se transmitan de una interfaz visible a otra que se oculta a sus espaldas es culpa de un tipo de notificaciones flotantes que los desarrolladores pueden emplear cuando programan una ‘app’ para Android.
Fueron concebidas para hacer la función de alertas – como la que aparece cuando la batería está a punto de agotarse -, pero si se aplican a pantalla completa y con la peculiaridad de ser ‘intocables’ (para que transmitan las pulsaciones a la verdadera aplicación como si fueran transparentes), se convierten en un arma que los ciberdelincuentes pueden y han sabido aprovechar.
Además de la descarga de ‘malware’ y la aprobación de permisos a ciegas, entre otras cosas, un atacante puede servirse del ‘tapjacking’ para robar contraseñas o realizar operaciones (incluso bancarias) en nombre del legítimo usuario.
La clave para protegerse de esta artimaña está, una vez más, en los permisos. Aunque estas ‘apps’ solicitan pocos antes de instalarse, hay uno que necesariamente tienen que pedir: el permiso para mostrar ventanas de alerta del sistema, muy infrecuente en cualquier otro tipo de aplicaciones. Si te lo encuentras, desconfía. Consulta las valoraciones y lee las reseñas que otros usuarios han dejado en Google Play y pregúntate si proviene de un desarrollador de confianza.
Un buen antivirus también puede ser tu salvación. Que tú no puedas ver al lobo disfrazado de oveja no quiere decir que no esté ahí. Afortunadamente, nuestras herramientas de seguridad están preparadas para desenmascararlo.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
