Google lanzou Android 13 hai só uns días, pero os piratas informáticos xa se concentraron en como evitar as súas últimas medidas de seguridade. Un equipo de investigadores descubriu malware en desenvolvemento que utiliza unha nova técnica para eludir as novas restricións de Google sobre as aplicacións que poden acceder aos servizos de accesibilidade. O abuso destes servizos facilita que o malware rastrexa contrasinais e datos privados, o que o converte nunha das pasarelas máis utilizadas para que os piratas informáticos Androidu.
Para entender o que está a suceder, temos que analizar as novas medidas de seguridade que está a poñer en marcha Google Androidu 13 implementado. A nova versión do sistema xa non permite que as aplicacións de carga lateral soliciten acceso ao servizo de accesibilidade. Este cambio está destinado a protexer contra o malware que unha persoa sen experiencia puido descargar sen querer fóra da Google Play Store. Anteriormente, unha aplicación deste tipo pediría permiso para usar servizos de accesibilidade, pero agora esta opción non está tan dispoñible para aplicacións descargadas fóra da Google Store.
Galería de fotos
Dado que os servizos de accesibilidade son unha opción lexítima para as aplicacións que realmente queren facer que os teléfonos sexan máis accesibles para os usuarios que os precisen, Google non quere prohibir o acceso a estes servizos para todas as aplicacións. A prohibición non se aplica ás aplicacións descargadas da súa tenda e de tendas de terceiros como F-Droid ou Amazon App Store. O xigante tecnolóxico argumenta aquí que estas tendas adoitan examinar as aplicacións que ofrecen, polo que xa teñen certa protección.
Segundo descubriu un equipo de investigadores de seguridade ThreatFabric, os desenvolvedores de malware do grupo Hadoken están a traballar nun novo exploit que se basea en malware máis antigo que utiliza servizos de facilitación para acceder a datos persoais. Dado que conceder permisos ás aplicacións descargadas "de lado" é v Androidu 13 máis difícil, o malware consta de dúas partes. A primeira aplicación que instala un usuario é unha chamada contagotas, que se comporta como calquera outra aplicación descargada da tenda e que utiliza a mesma API para instalar paquetes para despois instalar código malicioso "real" sen as restricións de habilitar os servizos de accesibilidade.
Podería estar interesado
Aínda que o malware aínda podería pedir aos usuarios que activen servizos de accesibilidade para aplicacións descargadas, a solución para activalas é complicada. É máis fácil convencer aos usuarios para que activen estes servizos cun só toque, que é o que consegue este dobre golpe. O equipo de investigadores sinala que o malware, que chamaron BugDrop, aínda está nas primeiras fases de desenvolvemento e que actualmente está moi "errorizado". O grupo Hadoken conseguiu anteriormente outro contagotas (chamado Gymdrop) que tamén se utilizaba para espallar malware e tamén creou o malware bancario Xenomorph. Os servizos de accesibilidade son un elo débil para estes códigos maliciosos, polo que fagas o que fagas, non permitas que ningunha aplicación acceda a estes servizos a non ser que sexa unha aplicación de accesibilidade (a excepción de Tasker, unha aplicación de automatización de tarefas para teléfonos intelixentes).
