Com este novo ataque de sobreposição, o malware pode atrair os usuários para habilitar o Serviço de Acessibilidade do Android e conceder o privilégio do Administrador de Dispositivos ou executar outras ações perigosas. Se esses privilégios forem concedidos, vários ataques podem ser lançados no dispositivo, incluindo roubar credenciais, instalar aplicativos silenciosamente e bloquear o dispositivo para posterior pedido de resgate, ação similar a ataques do tipo ransomware.
Como funciona o ataque
Ao utilizar a vantagem do recurso "Toast", o malware permite que aplicativos legítimos enviem notificações de aviso de que um e-mail chegou, por exemplo. Assim, é possível criar uma sobreposição de tela, escondendo os verdadeiros movimentos de um ataque. A partir de botões escondidos, usuários podem autorizar ações inadvertidamente. Com aplicativos maliciosos instalados é possível travar a tela do aparelho, excluir o PIN, limpar os dados e impedir que o app malicioso seja desinstalado.
A tela da esquerda é a falsa, sobreposta a verdadeira tela, a direita. Quando o usuário clica em "Continue", na verdade está acionando "Activate" que, neste caso permite privilégios de administrador a um determinado aplicativo.
A brecha encontra pela Unit 42 burla os sistemas de defesa nativos do Android que requerem que aplicativos que usem sobreposição de tela sejam baixados do Google Play e tenham autorização especial. Usando o recurso destinado as notificações estas duas etapas são ignoradas e qualquer aplicativo que tenha permissões de acessibilidade pode realizar o ataque.
Solução
A equipe da Palo Alto Networks reportou esta vulnerabilidade ao Google em 30 de maio de 2017. A empresa corrigiu e divulgou essa vulnerabilidade em 5 de setembro de 2017 em seu "Android Secutiry Bulletin".
É recomendado que todos os usuários do sistema operacional Android atualizem seus dispositivos o quanto antes e não instalem aplicativos de fontes desconhecidas, fora do Google Play. Usuários da última versão do Android 8.0 (Oreo) já estão protegidos.