Ataque TapTrap: Cómo hacer clic en cosas que ni tu madre aprobaría

Redazione RHC : 11 julio 2025 20:26

TapTrap explota las animaciones de la interfaz de usuario para eludir el sistema de permisos de Android, lo que le permite acceder a datos confidenciales o engañar al usuario para que realice acciones destructivas, como restablecer el dispositivo a la configuración de fábrica. El ataque TapTrap es un tipo de tapjacking, el equivalente móvil del clickjacking. En estos ataques, el atacante engaña al usuario para que haga clic en un elemento aparentemente inofensivo, lo que en realidad provoca una acción no deseada en segundo plano.

Sin embargo, a diferencia del tapjacking tradicional de superposición, TapTrap también puede ser utilizado por aplicaciones sin permisos, lo que les permite ejecutar actividades transparentes aparentemente inofensivas en aplicaciones maliciosas. Además, este método también funciona en Android 15 y 16.

TapTrap fue desarrollado por un equipo de la Universidad Técnica de Viena (TU Wien) y la Universidad de Bayreuth. La nueva técnica se presentará el próximo mes en el Simposio de Seguridad USENIX. Sin embargo, los investigadores ya han publicado un informe técnico que describe el ataque y han creado un sitio web que detalla sus aspectos clave.

TapTrap explota la gestión de las transiciones de tareas de Android mediante animaciones personalizadas para crear una inconsistencia visual entre lo que ve el usuario y lo que realmente sucede en la pantalla del dispositivo. Una aplicación maliciosa instalada en el dispositivo objetivo abre una pantalla del sistema con información confidencial (como una solicitud de permiso o la configuración del sistema) en nombre de otra aplicación. Para ello, llama a startActivity() y ejecuta una animación personalizada casi transparente.

«La clave de TapTrap es el uso de animaciones que hacen que la actividad objetivo sea prácticamente invisible», explican los investigadores. Esto se logra mediante una animación personalizada con valores alfa iniciales y finales muy bajos, como 0,01. Esto hace que la actividad maliciosa o de riesgo sea casi completamente transparente. Además, se puede usar una animación de zoom para ampliar un elemento específico de la interfaz (como el botón «Autorizar») y mostrarlo en pantalla completa, lo que aumenta la probabilidad de que el usuario lo toque. Creyendo que se trataba de una aplicación inofensiva, el usuario podía hacer clic en ciertas áreas de la pantalla, sin darse cuenta de que estaba presionando botones como «Permitir» o «Autorizar» en una ventana casi invisible.

Un video publicado por investigadores demuestra cómo una aplicación de juegos puede usar TapTrap para acceder a la cámara a través del navegador Chrome en nombre de un sitio web. Para determinar si TapTrap funcionaba con aplicaciones de Google Play Store, la tienda oficial de aplicaciones de Android, los investigadores analizaron casi 100 000 aplicaciones. Resultó que el 76% de ellos eran vulnerables porque contenían actividades que cumplían las siguientes condiciones:

• • pueden iniciarse desde otra aplicación;

• • ejecutarse en la misma tarea que la aplicación que los llama;

• • no anular la animación de transición;

• • comenzar a responder a las acciones del usuario antes de que la animación se complete.

Según los investigadores, las animaciones están habilitadas por defecto en la última versión de Android. A menos que el usuario las desactive mediante la configuración del desarrollador o las opciones de accesibilidad, el dispositivo sigue siendo vulnerable a TapTrap.

Aunque el ataque se creó inicialmente para Android 15 (la versión actual en ese momento), con el lanzamiento de Android 16, los expertos probaron TapTrap también en él. Posteriormente, el equipo probó TapTrap en el Google Pixel 8a con Android 16, y el problema también se detectó en la última versión del sistema operativo. Representantes de Google informaron a los medios que TapTrap se solucionará en una próxima actualización.