Uma vulnerabilidade crítica que afeta aproximadamente 99% dos dispositivos Android em operação atualmente pode permitir o ataque de dispositivos com por versões Trojan de aplicativos.

“Esta vulnerabilidade possibilita a alteração de códigos de aplicações sem afetar a assinatura criptográfica da aplicação – permitindo essencialmente um agente maligno enganar o Android de que o aplicativo não sofreu modificações”, afirma Jeff Forristal, CTO de segurança da informação da empresa de pesquisa Bluebox Labs. Utilizando essa técnica, o malware tem acesso total a qualquer dado ou aplicação do dispositivo, permitindo inclusive o envio de mensagens através das contas de Facebook e Twitter dos usuários.

A vulnerabilidade foi descoberta pela Bluebox e comunicada ao Google em fevereiro, antes da existência da falha se tornar pública na semana passada. “O problema, existente desde o lançamento do Android 1.6, pode afetar qualquer dispositivo com o sistema operacional fabricado nos últims quatro anos, totalizando 900 milhões de aparelhos. Dependendo do tipo de aplicação, o hacker pode explorar essa fragilidade roubando dados ou criando botnet móveis”, explica.

Chamada de “Android bug security bug 8219321”, a falha permite inserir códigos maliciosos em aplicativos legítimos. A técnica tem sido usada há tempos por hackers para disfarçar aplicativos Trojans, apenas modificando previamente a aplicação e o nome do publicador e depois assinando o app Trojan com a mesma assinatura digital, de acordo com declarações da Symantec Security Response. Dessa maneira, a Symantec afirma que é extremamente simples para um hacker disfarçar um malware como aplicativo original.

A boa notícia é que, de acordo com a Symantec, baseado na análise de 4 milhões de aplicações Android, nenhum hacker ainda se aproveitou a vulnerabilidade para criar aplicações maliciosas. A empresa de segurança descobriu o que parece ser um uso involuntário da técnica por alguns aplicativos. “Esses aplicativos são construídos om ferramentas populares, que pode podem ter um bug originando um APK (Android) com falhas”, relatou a Symantec.

Forristal Threatpost informou que o Google tinha planejado originalmente emitir um patch através do Projeto de Código Aberto Android e liberar correções de firmware para os dispositivos da marca Nexus em junho. No entanto, o executivo afirma que o lançamento deve ser adiado para agosto em sua apresentação do Black Hat.

A dúvida que fica é se os usuários terão que esperar meses para terem um patch disponibilizado pelos fabricantes de celulares. Um relatório produzido pelo Android Police mostra que todos os Samsung Galaxy S4 e HTC One rodando Android 4.2.2 ou versões superiores possuem um patch contra a vulnerabilidade relacionada à chave mestra. Mesmo assim, o levantamento aponta que muitos dispositivos, como a maioria dos aparelhos HTC One, estão rodando o Android 4.1.2 e continuam, portanto, vulneráveis.