Una nuova tecnica di tapjacking può sfruttare le animazioni dell’interfaccia utente per bypassare il sistema di autorizzazioni di Android e consentire l’accesso a dati sensibili o indurre gli utenti a eseguire azioni malevole, come la cancellazione del dispositivo.
“TapTrap rappresenta una nuova frontiera del tapjacking, poiché non utilizza sovrapposizioni visibili, ma manipola animazioni interne al sistema Android”, commenta Ciro Faella, Sales Specialist per Maticmind.
“L’attacco descritto è uno di quegli esempi che ci costringono a fermarci e riflettere: quanto siamo davvero preparati a difendere i nostri utenti e le nostre organizzazioni quando il nemico diventa… invisibile?”, si domanda Raul Arisi, Cybersecurity Marketing Director per Maticmind.
Ecco come funziona e come proteggersi su Android 15 e 16, in attesa della patch di Google.
Indice degli argomenti
Attacchi contro Android: TapTrap, variante di tapjacking
A differenza del tapjacking tradizionale, basato su overlay, gli attacchi di TapTrap funzionano anche con le app a permesso zero per lanciare un’attività trasparente innocua sopra un’attività malevola, un comportamento che rimane non mitigato in Android 15 e 16.
“TapTrap è una sofisticata variante di tapjacking che sfrutta le animazioni di transizione di Android per far apparire invisibili delle schermate sensibili — come quelle per l’autorizzazione dei permessi o l’attivazione dell’amministratore di dispositivo — sovrapponendole a una UI normale”, spiega Ciro Faella.
TapTrap è stato sviluppato da un team di ricercatori di sicurezza della TU Wien e dell’Università di Bayreuth (Philipp Beer, Marco Squarcina, Sebastian Roth, Martina Lindorfer) e sarà presentato il mese prossimo all’USENIX Security Symposium.
“Questo malware sfrutta un trucco dell’interfaccia utente per far sì che l’utente tocchi qualcosa che in realtà non vede, autorizzando azioni malevole senza nemmeno accorgersene. È una tecnica subdola, ma anche geniale nella sua semplicità. E ci ricorda una cosa fondamentale: la fiducia che riponiamo nei nostri dispositivi e nelle app è, spesso, mal riposta”, avverte Raul Arisi.
Tuttavia, il team ha già pubblicato un documento tecnico che delinea l’attacco e un sito web che riassume la maggior parte dei dettagli.
“Il risultato? L’utente compie azioni memorabili (concedere permessi o abilitare privilegi elevati) senza alcuna indicazione visiva. La vulnerabilità è significativa per i dispositivi Android 15/16 e richiede attenzione immediata”, mette in guardia Ciro Faella.
Come funziona TapTrap
TapTrap sfrutta il modo in cui Android gestisce le transizioni di attività con animazioni personalizzate, per creare un divario visivo tra ciò che l’utente vede e ciò che il dispositivo registra effettivamente.
“Quello che colpisce di più, però, è che qui non parliamo di una falla tecnica ‘classica’. Non è un virus che distrugge file, né un ransomware che blocca lo schermo. È un attacco che si muove nelle pieghe del comportamento umano, sfruttando le abitudini, la velocità con cui interagiamo, la certezza — sbagliata — che ciò che vediamo sullo schermo sia davvero ciò che c’è“, continua Arisi.
Un’applicazione dannosa installata sul dispositivo di destinazione lancia una schermata di sistema sensibile (richiesta di autorizzazione, impostazione di sistema, ecc.) da un’altra applicazione utilizzando ‘startActivity()’ con un’animazione personalizzata a bassa capacità.
“La chiave di TapTrap è l’utilizzo di un’animazione che rende l’attività di destinazione quasi invisibile”, affermano i ricercatori: “Ciò può essere ottenuto definendo un’animazione personalizzata con l’opacità iniziale e finale (alfa) impostata su un valore basso, come 0,01”, rendendo così l’attività dannosa o rischiosa quasi completamente trasparente.
“Opzionalmente, è possibile applicare un’animazione in scala per ingrandire un elemento specifico dell’interfaccia utente (ad esempio, un pulsante di autorizzazione), facendogli occupare l’intero schermo e aumentando le probabilità che l’utente lo tocchi”.
Sebbene il prompt lanciato riceva tutti gli eventi tattili, tutto ciò che l’utente vede è l’app sottostante che visualizza i propri elementi dell’interfaccia utente, poiché sopra di essa si trova lo schermo trasparente con cui l’utente interagisce effettivamente.
Pensando di interagire con l’app, l’utente può toccare posizioni specifiche dello schermo che corrispondono ad azioni rischiose, come i pulsanti “Consenti” o “Autorizza” su prompt quasi invisibili.
La tecnica d’attacco di TapTrap
“Un’applicazione malevola (spesso a zero permessi) lancia un’activity sensibile (per esempio,. prompt per i permessi) passando un’animazione personalizzata con opacità minimale (es. 0.01)”, spiega la tecnica d’attacco Ciro Faella: “L’utente continua a vedere l’app ‘innocua’, mentre in realtà i suoi tocchi vengono registrati sul prompt invisibile, favorendo l’azione desiderata dall’attaccante (per esempio, clic su “Consenti”) . Un bug nel sistema Android può quindi estendere la durata dell’animazione fino a 6 secondi (invece di 3), aumentando la finestra di attacco” .
I rischi
Per verificare se TapTrap potesse funzionare con le applicazioni presenti nel Play Store, il marketplace ufficiale di Android, i ricercatori ne hanno analizzate quasi 100.000. Hanno scoperto che il 76% di esse è vulnerabile a TapTrap in quanto include una schermata (“attività”) che soddisfa le seguenti condizioni:
- può essere lanciata da un’altra app;
- viene eseguita nella stessa attività dell’app chiamante;
- non sovrascrive l’animazione di transizione;
- non attende che l’animazione finisca prima di reagire all’input dell’utente.
I ricercatori affermano che le animazioni sono abilitate nell’ultima versione di Android, a meno che l’utente non le disabiliti dalle opzioni per gli sviluppatori o dalle impostazioni di accessibilità, esponendo i dispositivi agli attacchi TapTrap.
“In uno studio con 20 partecipanti, tutti hanno concesso inavvertitamente almeno un permesso (fotocamera, posizione o amministratore) ”, sottolinea Ciro Faella.
Per sviluppare l’attacco, i ricercatori hanno utilizzato Android 15, la versione più recente all’epoca, ma dopo l’uscita di Android 16 hanno eseguito alcuni test anche su di esso, provando TapTrap su un Google Pixel 8a con Android 16 e confermando che il problema non è stato risolto.
Anche GrapheneOS, il sistema operativo mobile incentrato su privacy e sicurezza, ha confermato che l’ultimo Android 16 è vulnerabile alla tecnica TapTrap, annunciandoo una correzione sulla prossima versione.
Come proteggersi da TapTrap
Un portavoce di Google ha dichiarato a BleepingComputer che il problema TapTrap sarà mitigato in un aggiornamento futuro:
“Android migliora costantemente le mitigazioni esistenti contro gli attacchi di tapjacking”, ha dichiarato un rappresentante di Google a BleepingComputer.
Tuttavia, secondo Arisi, “viene naturale chiedersi: quante aziende hanno davvero pensato a queste minacce quando hanno definito le loro policy di sicurezza mobile? Quanti piani di awareness formano davvero gli utenti su questi rischi, che non si vedono ma si sentono solo quando è troppo tardi?”.
“Forse è arrivato il momento di spostare l’attenzione: non solo tecnologia, ma comportamenti. Non solo permessi e antivirus, ma capacità di riconoscere quando qualcosa ‘non torna’”, conclude Raul Arisi.
Ecco le mitigazioni consigliate da Ciro Faella: “Occorre disattivare le animazioni del sistema tramite Opzioni sviluppatore o Accessibilità (come suggeriscono Bleeping Computer e Cybernews) . Gli aggiornamenti in arrivo: Google ha dichiarato che rilascerà una patch in un aggiornamento futuro; anche GrapheneOS si sta già muovendo in tal senso .
Bisogna infine scaricare app solo da fonti affidabili, monitorare attentamente i permessi richiesti e utilizzare sistemi operativi o launcher attenti alla sicurezza”.
Ma “le misure temporanee (disattivazione delle animazioni e controllo dei permessi) sono utili, ma è fondamentale attendere e installare le patch ufficiali non appena disponibili“, conclude Ciro Faella.
