Malware Toastamigo Android Superposicion

Un grupo de investigadores de seguridad han descubierto un nuevo malware de Android que puede instalar en secreto otro software malicioso en un dispositivo infectado, aprovechando la vulnerabilidad de superposición de Android Toast (Toast Overlay).

El malware, apodado ToastAmigo, emplea una técnica de ataque que ya había sido mostrada a principios de este año como una prueba de concepto que podría ser aprovechada por los hackers. En septiembre, Google parchó la falla de superposición Toast.

Los investigadores de Trend Micro encontraron dos aplicaciones maliciosas al acecho en la Google Play Store que se hicieron pasar por apps legítimas, y ambas se denominaron Smart AppLocker, y fueron las utilizadas para distribuir el malware ToastAmigo. Las aplicaciones aseguran que ayudan a proteger las aplicaciones de un dispositivo mediante un código PIN.

Lorin Wu, analista de amenazas móviles de Trend Micro, afirmó que una de las apps había sido descargada más 500 mil veces desde el pasado 6 de noviembre. Además, reveló que las apps maliciosa se aprovecharon de las características de accesibilidad de Android, lo que les permitió controlar los ‘Ad-click’, la instalación de aplicaciones y capacidades de autoprotección.

Una vez instaladas, las apps solicitan al usuario que conceda permisos de Accesibilidad. Sin embargo, una vez que el usuario otorga estos permisos, las apps abren una ventana para “analizar” la app desprotegida. Mientras tanto, la aplicación realiza acciones y ejecuta comandos en segundo plano, como la instalación de otro software malicioso.

El conjunto de capacidades maliciosas, junto con su vector de ataque único hacen del malware ToastAmigo una amenaza “creíble”, según los investigadores. Añadieron que sus funcionalidades pueden ser incluso modificadas para otros ataques informáticos en el futuro.

YouTube recomienda los mejores dispositivos para disfrutar de la aplicación y el iPhone no está entre la lista

En definitiva, el malware puede utilizar indebidamente la función de accesibilidad de Android para hacer prácticamente cualquier cosa, y actualizarse a sí mismo cuando recibe las demandas de un servidor remoto. Los investigadores observaron que todas las versiones de Android OS, excepto la última 8.0 u Oreo, se ven afectadas por este malware. Trend Micro afirmó que notificó a Google sobre sus hallazgos y las apps maliciosas ya han sido eliminadas en su totalidad.

Más en TekCrispy