NUEVO¡Ahora puedes escuchar artículos de Fox News!
Un equipo de investigadores académicos ha descubierto una nueva explotación de seguridad de Android que plantea muchas preguntas sobre el sistema de permisos de la plataforma. La técnica, llamada TapTrap, utiliza animaciones de interfaz de usuario para engañarlo visualmente para otorgar permisos confidenciales o realizar acciones dañinas. A diferencia de los ataques anteriores de Tapjacking, TapTrap Android Attack funciona al iniciar las indicaciones del sistema transparente sobre las interfaces de aplicaciones regulares. El resultado es una capa casi invisible que captura silenciosamente sus grifos e interacciones.
Regístrese para mi informe gratuito de Cyberguy
Obtenga mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas entregadas directamente a su bandeja de entrada. Además, obtendrá acceso instantáneo a mi guía de supervivencia de estafa definitiva, gratis cuando se une a mi Cyberguy.com/newsletter
El nuevo Google AI hace que los robots más inteligentes sin la nube
Una persona que sostiene un teléfono Android (Kurt “Cyberguy” Knutsson)
Cómo la explotación de Android de taptrap lo engaña para que otorgue permisos
Según lo informado por Bleeping Computer, TapTrap aprovecha cómo Android maneja las transiciones de actividad entre las aplicaciones. Una aplicación maliciosa puede iniciar una pantalla a nivel de sistema utilizando la función de actividad de inicio estándar, pero modificar cómo aparece la pantalla usando una animación personalizada. Al establecer la opacidad de inicio y finalización en un valor muy bajo, como 0.01, la actividad se vuelve casi invisible para el usuario.
La entrada táctil todavía está completamente registrada por la pantalla transparente, a pesar de que los usuarios solo ven la aplicación visible debajo. Los atacantes también pueden aplicar una animación de escala que amplía un elemento de interfaz de usuario específico, como un botón de permiso, para que llene la pantalla. Esto aumenta la posibilidad de que un usuario toque sin saberlo el botón.
¿Qué es la inteligencia artificial (AI)?
Los investigadores publicaron un video que muestra cómo esta técnica podría usarse en una aplicación de juego para lanzar silenciosamente un mensaje de permiso de navegador Chrome. El aviso solicita acceso a la cámara, y el usuario aprovecha “permite” sin darse cuenta de lo que ha hecho. Debido a que la pantalla maliciosa es transparente, no hay señales visuales que sugieran que sucede algo sospechoso.
Imagen de un teléfono Android (Kurt “Cyberguy” Knutsson)
Por qué el 76% de las aplicaciones de Android son vulnerables a TapTrap
Para evaluar cuán extendida podría ser la vulnerabilidad, los investigadores probaron casi 100,000 aplicaciones de Play Store. Se descubrió que aproximadamente el 76% son potencialmente vulnerables, no porque sean maliciosos, sino porque carecen de salvaguardas clave. Estas aplicaciones tenían al menos una pantalla que podría ser lanzada por otra aplicación, compartir la misma pila de tareas, no pudo anular la animación de transición predeterminada y no bloqueó la entrada del usuario durante la transición.
Android habilita estas animaciones por defecto. Los usuarios solo pueden deshabilitarlos a través de la configuración que generalmente están ocultas, como opciones de desarrollador o menús de accesibilidad. Incluso la última versión de Android, probada en un Google Pixel 8a, permanece desprotegida con esta exploit.
Grapheneos, un sistema operativo centrado en la seguridad basado en Android, confirmó que su versión actual también se ve afectada. Sin embargo, planea lanzar una solución en su próxima actualización.
Obtenga el negocio de Fox sobre la marcha haciendo clic aquí
Google ha reconocido el problema y dijo que una futura actualización de Android contendrá una mitigación. Si bien no se ha anunciado ninguna línea de tiempo exacta, se espera que Google cambie cómo se manejan las entradas y las animaciones para evitar la intercepción invisible de TAP.
La compañía agregó que los desarrolladores deben seguir políticas estrictas de Play Store y que cualquier aplicación encontrada que abuse de esta vulnerabilidad enfrentará acciones de cumplimiento.
Una persona que sostiene un teléfono Android (Kurt “Cyberguy” Knutsson)
4 formas en que puede mantenerse a salvo del ataque de taptrap
1) Considere una aplicación de seguridad móvil: Use un antivirus de confianza o una aplicación de seguridad móvil de confianza que pueda detectar un comportamiento sospechoso o alertarlo sobre aplicaciones utilizando superposiciones o funciones de accesibilidad de manera incorrecta.
Obtenga mis elecciones para los mejores ganadores de protección antivirus 2025 para sus dispositivos Windows, Mac, Android e iOS en Cyberguy.com/lockupyourtech
2) Sea selectivo sobre las aplicaciones que instala: Evite instalar aplicaciones solo porque están en tendencia o tienen anuncios llamativos. Verifique la credibilidad del desarrollador, las revisiones recientes y los permisos de aplicaciones antes de descargar.
3) Quédese en la tienda Google Play: Si bien no es perfecto, la tienda de Play tiene mejores salvaguardas que las fuentes APK aleatorias. Evite instalar aplicaciones en tiendas de terceros o sitios web desconocidos.
4) Pausa antes de otorgar permisos: Si una aplicación de repente solicita acceso a su cámara, micrófono u otras características sensibles, tómese un momento. Siempre pregúntese si esta aplicación realmente necesita este permiso en este momento.
Takeaway de la llave de Kurt
TapTrap muestra que las amenazas de seguridad no siempre provienen de código complejo o malware agresivo. A veces, las pequeñas supervisiones en el comportamiento visual pueden abrir caminos para un abuso grave. En este caso, el peligro radica en lo que los usuarios no ven. Las personas confían en lo que pueden ver en sus pantallas. Este ataque rompe ese enlace al crear un desajuste visual entre la intención y el resultado.
Haga clic aquí para obtener la aplicación Fox News
¿Confías en las aplicaciones que instala desde Play Store o cavas más profundo antes de descargar? Háganos saber escribiéndonos en Cyberguy.com/contact
Regístrese para mi informe gratuito de Cyberguy
Obtenga mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas entregadas directamente a su bandeja de entrada. Además, obtendrá acceso instantáneo a mi guía de supervivencia de estafa definitiva, gratis cuando se une a mi Cyberguy.com/newsletter
Copyright 2025 cyberguy.com. Reservados todos los derechos.
