Uma vulnerabilidade grave em um popular kit de desenvolvimento de software (SDK) Android de terceiros deixou dezenas de milhões de carteiras de criptomoedas vulneráveis a roubo de dados, de acordo com um relatório recém-publicado pela Equipe de Pesquisa de Segurança do Microsoft Defender.
A falha permitiu que aplicativos maliciosos contornassem a sandbox de segurança principal do Android.
A vulnerabilidade afetou uma ampla gama de aplicativos. O ecossistema de criptomoedas e carteiras digitais foi o mais atingido pela exposição devido à natureza de alto valor dos dados armazenados.
A Microsoft identificou mais de 30 milhões de instalações de aplicativos de carteira de criptomoedas de terceiros afetados. A exposição total excedeu 50 milhões de instalações.
Se explorada, a vulnerabilidade poderia ter exposto Informações de Identificação Pessoal (PII), credenciais privadas de usuários e dados financeiros sensíveis armazenados profundamente nos diretórios privados do aplicativo afetado.
Felizmente, a Microsoft observou que atualmente não há evidências que sugiram que esta vulnerabilidade tenha sido ativamente explorada por atores de ameaça no mundo real.
O SDK da EngageLab é uma ferramenta utilizada por desenvolvedores para gerenciar notificações push e mensagens em tempo real no aplicativo. A falha de segurança foi rastreada até um componente específico (MTCommonActivity) que foi automaticamente adicionado ao código de fundo de um aplicativo após o processo de compilação.
Como este componente foi amplamente exportado, ele se tornou acessível a outros aplicativos instalados no mesmo dispositivo Android.
Um aplicativo malicioso instalado no mesmo dispositivo poderia criar uma mensagem manipulada (uma "intent") e enviá-la para o aplicativo de carteira de criptomoedas vulnerável.
O aplicativo da carteira processaria esta intent usando sua própria identidade e permissões confiáveis.
Isso enganou a carteira a conceder ao aplicativo malicioso acesso persistente de leitura e escrita aos seus diretórios de dados privados.
Uma ação rápida foi tomada em todo o ecossistema Android para mitigar a ameaça.
