Vulnerabilidade do Android permite criação de telas falsas para esconder ações de hackers

Author Photo
5:29 pm - 11 de setembro de 2017

Uma vulnerabilidade de todas as versões do sistema Android anteriores a 8.0 (Oreo) permitia que aplicativos criassem telas falsas, que se sobrepõem à tela verdadeira, escondendo ações dos criminosos. A brecha foi identificada pela Unit 42, equipe de pesquisa da Palo Alto Networks, que reportou ao Google no dia 30 de maio. O gigante das buscas, por sua vez, corrigiu e divulgou a vulnerabilidade em 5 de setembro no “Android Secutiry Bulletin”.

Com este novo ataque de sobreposição, o malware pode atrair os usuários para habilitar o Serviço de Acessibilidade do Android e conceder o privilégio do Administrador de Dispositivos ou executar outras ações perigosas. Se esses privilégios forem concedidos, vários ataques podem ser lançados no dispositivo, incluindo roubar credenciais, instalar aplicativos silenciosamente e bloquear o dispositivo para posterior pedido de resgate, ação similar a ataques do tipo ransomware.

Como funciona

Ao utilizar a vantagem do recurso “Toast”, o malware permite que aplicativos legítimos enviem notificações de aviso de que um e-mail chegou, por exemplo. Assim, é possível criar uma sobreposição de tela, escondendo os verdadeiros movimentos de um ataque. A partir de botões escondidos, usuários podem autorizar ações inadvertidamente. Com aplicativos maliciosos instalados, é possível travar a tela do aparelho, excluir o PIN, limpar os dados e impedir que o app malicioso seja desinstalado.

A tela da esquerda é a falsa, sobreposta a verdadeira tela, a direita. Quando o usuário clica em “Continue”, na verdade está acionando “Activate” que, neste caso permite privilégios de administrador a um determinado aplicativo.

A brecha burla os sistemas de defesa nativos do Android que requerem que aplicativos que usem sobreposição de tela sejam baixados do Google Play e tenham autorização especial. Usando o recurso destinado as notificações estas duas etapas são ignoradas e qualquer aplicativo que tenha permissões de acessibilidade pode realizar o ataque.

Recomendação

A Unit 42 recomenda que todos os usuários do sistema operacional Android atualizem seus dispositivos o quanto antes e não instalem aplicativos de fontes desconhecidas, fora do Google Play. Usuários da última versão do Android 8.0 (Oreo) já estão protegidos.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.