MASTG-KNOW-0022: Ataques de Sobreposição

Ataques de sobreposição de tela ocorrem quando um aplicativo malicioso consegue se posicionar sobre outro aplicativo, que continua funcionando normalmente como se estivesse em primeiro plano. O app malicioso pode criar elementos de UI que imitam a aparência e a sensação do aplicativo original ou até mesmo da UI do sistema Android. A intenção geralmente é fazer os usuários acreditarem que continuam interagindo com o aplicativo legítimo e, em seguida, tentar elevar privilégios (por exemplo, obtendo algumas permissões concedidas), fazer phishing sorrateiro, capturar toques e pressionamentos de tecla do usuário, etc.

Existem vários ataques que afetam diferentes versões do Android, incluindo:

  • Tapjacking (Android 6.0 (API level 23) e versões inferiores) abusa do recurso de sobreposição de tela do Android, ouvindo toques e interceptando qualquer informação passada para a atividade subjacente.
  • Ataques Cloak & Dagger afetam aplicativos direcionados ao Android 5.0 (API level 21) até Android 7.1 (API level 25). Eles abusam de uma ou ambas as permissões SYSTEM_ALERT_WINDOW ("desenhar sobre outros apps") e BIND_ACCESSIBILITY_SERVICE ("acessibilidade"), que, caso o aplicativo seja instalado pela Play Store, os usuários não precisam conceder explicitamente e para as quais nem mesmo são notificados.
  • Toast Overlay é bastante similar ao Cloak & Dagger, mas não requer que permissões específicas do Android sejam concedidas pelos usuários. Foi corrigido com o CVE-2017-0752 no Android 8.0 (API level 26).

Geralmente, esse tipo de ataque é inerente a uma versão do sistema Android que possui certas vulnerabilidades ou problemas de design. Isso os torna desafiadores e muitas vezes virtualmente impossíveis de prevenir, a menos que o aplicativo seja atualizado para direcionar uma versão segura do Android (API level).

Ao longo dos anos, muitos malwares conhecidos como MazorBot, BankBot ou MysteryBot têm abusado do recurso de sobreposição de tela do Android para direcionar aplicativos críticos para negócios, principalmente no setor bancário. Este blog discute mais sobre esse tipo de malware.