Los servicios están integrados Accesibilidad en Android Para que las características que se han agregado al sistema operativo sean más fáciles de usar que gente con discapacidades وnecesidades especiales , pero estos servicios también pueden proporcionar una puerta trasera a los atacantes. Sin necesidad de acceder Permisos de root para un dispositivo El malware puede estar diseñado para explotar las funciones legítimas de los servicios de accesibilidad y eludir las protecciones de su dispositivo Android.
Exploremos los servicios de accesibilidad de Android y cómo se pueden usar con fines maliciosos.
¿Qué son los servicios de accesibilidad en Android?
Aplicar Grupo de habilitación de Android Controla el teléfono para realizar tareas especiales. El objetivo principal es ayudar gente con discapacidades para usar sus teléfonos.
Por ejemplo, si al desarrollador le preocupa que la gente Aquellos con baja visión No pueden leer algún texto, pueden usar el servicio de lectura de texto del usuario.
Los servicios también pueden realizar acciones de usuario y superponer contenido en otras aplicaciones. Todos estos están destinados a ayudar a los usuarios para usar sus teléfonos Permitir que las personas con una amplia gama de discapacidades diferentes usen sus dispositivos Simple y fácil.
Tenga en cuenta que esto es diferente de Grupo de habilitación de Android. Aunque el servicio de Accesibilidad está destinado a desarrolladores que desean mejorar sus aplicaciones, Grupo de habilitación de Android(que incluye el Menú de accesibilidad, Seleccionar Hablar, Cambiar acceso y TalkBack. El Kit de herramientas de accesibilidad de Android se incluye en muchos dispositivos Android) Se utiliza para proporcionar aplicaciones para ayudar a las personas con discapacidades.
¿Cómo se puede abusar de los servicios de accesibilidad de Android?
Desafortunadamente, dar a los desarrolladores más control sobre un teléfono siempre tiene posibilidades maliciosas. Por ejemplo, la misma función que lee un mensaje con voz para el usuario también puede escanear el mensaje y enviarlo a los servidores del desarrollador.
Preparar Control de las acciones del usuario وVer contenido superpuesto Dos componentes principales para atacar clickjacking. puede ser usado Software malicioso Este servicio es hacer clic en algún botón por sí mismo, como otorgarse privilegios administrativos. También puede mostrar contenido en la pantalla y engañar al usuario para que haga clic en él.
Ejemplos de uso malicioso de los servicios de accesibilidad de Android
Podemos hablar de las posibilidades que ofrece al malware el uso de Grupo de habilitación de Android ¡No hay mejor manera de aprender que usando ejemplos del mundo real! Incluye registro Malware de Android Hay muchos ataques que usan el servicio de accesibilidad de Android para su propio beneficio, así que exploremos algunos trucos de mano dura.
Ataque de capa y daga
Era el ataque de la capa y la daga o Capa y Puñal Uno de los ejemplos más aterradores de este tipo de Malware. El servicio de accesibilidad se ha integrado con la superposición de servicios gráficos para leer todo en el teléfono del usuario.
En resumen, el ataque utiliza una aplicación de Google Play. Aunque la aplicación no solicita ningún permiso específico del usuario, los atacantes obtienen derechos para mostrar la interfaz de la aplicación sobre otras aplicaciones, lo que obstruye su visualización visualmente, así como la capacidad de hacer clic en los botones en nombre de los usuarios para que no observe que algo sospechoso está sucediendo.
¿Qué tipos de permisos hay? El primer permiso permite que una aplicación imponga su interfaz sobre cualquier otra aplicación, y el segundo permiso permite que una aplicación acceda a un conjunto de funciones, el servicio de accesibilidad, para personas con discapacidad visual o auditiva. Este último permiso puede marcar la diferencia, incluso cosas peligrosas, en cualquier dispositivo al permitir que la aplicación controle lo que sucede en otras aplicaciones e interactúe con ellas en nombre del usuario.
Anubis
Anubis هو troyanos Un banquero que trabaja robando las credenciales bancarias de los usuarios y enviándoselas al desarrollador. Los troyanos bancarios son una de las formas más comunes que usan los hackers para entrar cuentas bancarias.
Anubis usó servicios de accesibilidad para leer lo que escribe la gente. Los troyanos bancarios suelen obtener los detalles financieros mostrando una superposición similar a una aplicación bancaria falsa. Esto engaña al usuario para que ingrese sus datos en la superposición falsa de la aplicación bancaria en lugar de la aplicación oficial.
Anubis se saltó este paso al leer lo que se ingresó en el teclado. Incluso si el usuario ingresa sus datos en la aplicación bancaria real, Anubis aún obtendrá sus datos.
ginp
Exploremos algo más moderno. ginp Es un troyano de Android que se inspira en Anubis. Aunque contiene código de Anubis, el código no es una versión modificada del malware de origen. El desarrollador lo construyó desde cero y luego robó el código de Anubis para realizar funciones específicas.
Ginp pretenderá ser Adobe Flash Player , luego le pregunta al usuario si desea instalarlo. entonces preguntará Muchos permisos , incluidos los servicios de accesibilidad.
Si el usuario otorga permiso al Flash Player ficticio, entonces Ginp utilizará un servicio de accesibilidad para otorgarse privilegios de administración a sí mismo. Con estos privilegios, puede configurarse como la aplicación de llamadas y SMS predeterminada para el teléfono. Desde aquí, puede recolectar SMS, enviar los suyos propios, obtener una lista de contactos y reenviar llamadas.
Para empeorar las cosas, Ginp tomó una página del código de Anubis y recurrió a trucos bancarios. Utiliza servicios de accesibilidad para crear una superposición de página de inicio de sesión bancaria falsa en la página oficial de la aplicación, desde la cual luego recopila los detalles de inicio de sesión del usuario y la información de la tarjeta de crédito.
¿Qué está haciendo Google para defender a los usuarios?
Cuando el servicio de accesibilidad cayó en manos de los desarrolladores de malware, Google intentó detener el abuso. En 2017 envió Correo electrónico a los desarrolladores Establece que cualquier aplicación que no use el servicio para ayudar a las personas realmente discapacitadas se eliminará de inmediato.
Desafortunadamente, esto no acabó con las personas que cargan aplicaciones infectadas. De hecho, por la naturaleza del uso de los servicios oficiales, es muy difícil advertir el abuso de la accesibilidad.
Las aplicaciones en tiendas de terceros tampoco son buenas. Google escanea aplicaciones en Google Play Para asegurarse de que las aplicaciones no sean pirateadas y elimine todo lo que encuentre. Sin embargo, las tiendas de terceros no cuentan con esta protección. Esto significa que las aplicaciones en tiendas de terceros pueden abusar de los servicios de accesibilidad tantas veces como quieran sin ser detectadas.
Cómo evitar el malware de servicios de accesibilidad en Android
Cuando instala una aplicación en Android, a veces ve una lista de permisos que la aplicación quiere usar. Hay señales de advertencia obvias para detectar, por ejemplo Aplicación para tomar notas Que le pide permiso para tomar el control total de mensajes SMS Tu propio.
Sin embargo, cuando una aplicación pregunta sobre el acceso a los servicios de accesibilidad, esto no parece demasiado sospechoso. Después de todo, ¿qué pasaría si la aplicación tuviera funciones adicionales para ayudar realmente a los discapacitados? Hace que el usuario se sienta seguro al decir "sí", lo que puede causar problemas si la aplicación tiene intenciones maliciosas.
Por lo tanto, tenga cuidado con los permisos del servicio de accesibilidad. Si una aplicación popular y altamente calificada te lo pide, es seguro asumir que realmente ayuda a los discapacitados. Sin embargo, si una aplicación relativamente nueva solicita revisiones mínimas, puede ser mejor tener cuidado y no continuar con la instalación.
Además, use la tienda de aplicaciones oficial siempre que sea posible. Si bien es difícil identificar rápidamente las aplicaciones con ataques de accesibilidad, Google eliminará cualquier aplicación que se detecte. Sin embargo, las tiendas de terceros pueden dejar estas aplicaciones en su tienda y, por lo tanto, pueden infectar a más y más usuarios.
Tienes que mantener tu teléfono a salvo del abuso de permisos.
Puede parecer bastante simple dar acceso a la aplicación a los servicios de discapacidad, pero los resultados podrían ser cualquier cosa menos una ayuda. Las aplicaciones maliciosas pueden usar los servicios de accesibilidad de Android para monitorear lo que escribe y mostrar superposiciones para engañar a las personas e incluso otorgarse mayores poderes.
Si desea obtener más información sobre el abuso de los permisos de malware, consulte Los permisos de la aplicación de teléfono inteligente que necesita verificar hoy.
