A finales de noviembre,
Google sólo había corregido el problema en la versión 8.0 de Android (Oreo),
dejando vulnerables las versiones 5.0, 6.0 y 7.0, que representan
aproximadamente el 77,5% de los dispositivos que utilizan este sistema
operativo, indica la empresa de seguridad en un comunicado, aunque no precisa
si habría usuarios afectados.
El ciberatacante podría
aprovecharse del servicio MediaProjection de Android, una herramienta para
grabar sonido o hacer pantallazos, mediante una táctica de pantalla falsa para
engañar al usuario de modo que dé su consentimiento de uso sin él saberlo.
A diferencia de otros
mecanismos para pedir permiso en Android, como el acceso a contactos o
ubicación, MediaProjection carece de una ventana específica para solicitarlo.
En su lugar, cuando una aplicación intenta utilizarlo, aparece un mensaje
diferente, con el nombre de ventana emergente SystemUI.
Según Check Point, con
una aplicación los ciberdelincuentes podrían detectar cuándo está a punto de
aparecer dicha ventana, para mostrar un mensaje falso superpuesto al de
SystemUI y persuadir a la víctima para que conceda el consentimiento de uso sin
saberlo. Una vez engañado el usuario, el ciberdelincuente podría grabar la
pantalla y el audio del dispositivo, convirtiéndolo en herramienta definitiva
de espionaje.
El ataque no sería
completamente encubierto de realizarse, ya que en la barra de notificación
aparecería una alerta de la actividad de grabación, pero es probable que la
mayoría de usuarios no lo relacionen con una amenaza.
Aunque los expertos
reconocen que Google ha hecho un esfuerzo "significativo" para acabar
con las tácticas de superposición de pantalla, se trata de un procedimiento
cibercriminal que aún sigue permitiendo engañar a usuarios para obtener sus
credenciales.