Pesquisadores descobriram uma falha de design em dispositivos Android que pode ser usada para capturar prints de tela remotamente ou gravar áudio sem o conhecimento ou o consentimento do usuário.
O ataque depende do serviço MediaProjection no Android, que possui esses recursos extensivos e foi disponibilizado para o uso de aplicativos não patenteados desde o Android versão 5.0 (Lollipop). Enquanto os aplicativos necessitam a permissão do usuário para usar este serviço, o novo ataque usa uma tática de sobreposição de tela para enganá-lo para que conceda a permissão sem saber.
No momento da publicação, o Google apenas corrigiu o problema no Android versão 8.0 (Oreo), deixando as versões do Android 5.0, 6.0 e 7.0, que representam cerca de 77,5% dos dispositivos Android, vulneráveis.
Como funciona a vulnerabilidade
Ao contrário de outros pedidos de permissão no Android, como acesso a contatos ou localização, o serviço MediaProjection não possui uma janela particular de permissão para que o usuário permita acesso. Em vez disso, quando um aplicativo tenta usá-lo, uma janela diferente aparece, chamada popup SystemUI. À medida que os pesquisadores descobriram, um aplicativo pode detectar quando esta janela está prestes a aparecer e exibir uma mensagem própria criada, que cobrirá o popup SystemUI e persuadirá o usuário a conceder a permissão ao serviço de MediaProjection sensível, inconsciente do esquema.
Uma vez que o aplicativo ganhou as permissões necessárias, ele pode gravar a tela e o áudio do dispositivo, tornando-o a ferramenta de espionagem final. No entanto, o ataque não é completamente encoberto, uma vez que uma notificação da atividade de gravação aparecerá na barra de notificação, embora a maioria dos usuários possivelmente não entendam o seu verdadeiro significado.
A segunda parte do ataque consiste em uma tática de sobreposição de tela, muitas vezes chamada de “furto de clique”, que é um método muito comum usado por malwares móveis, especialmente malware bancário e ransomware. Enquanto o Google fez um esforço significativo para mitigar essa tática, ainda é uma forma bem-sucedida de enganar os usuários e obter suas credenciais.
Por que isso é um problema
Esta não é a primeira vez que uma falha de design foi descoberta. O serviço de acessibilidade do Android, que é destinado a ajudar os usuários com deficiência, foi abusado para conceder permissões extensivas aos atacantes usando uma tática similar de exibir uma página de sobreposição falsa.
Enquanto os pesquisadores também descobriram inicialmente essa falha, o malware logo tomou lugar usando essa tática para seus próprios propósitos maliciosos. O principal problema com as vulnerabilidades que se originam em falhas de design inerentes é que elas geralmente são muito mais difíceis de se livrar.
Por um lado, o Google não quer erradicar completamente o uso do serviço, mas, por outro lado, claramente não pode permitir que a mesma arquitetura funcione. Uma vez que o sistema operacional do Android seja complexo e os serviços sejam intrínsecos e cruciais para muitos processos, é difícil adaptar o código para que seja seguro e permita uma operação ágil.
Como ficar protegido
Para ficar seguro do ataque recentemente descoberto e da ampla paisagem de malware móvel, os usuários devem usar medidas de segurança avançadas, capazes de detectar e bloquear qualquer tentativa de exibir uma janela de sobreposição falsa ou realizar qualquer atividade maliciosa usando análise dinâmica e determinando a contexto da atividade.
