Un grupo de investigadores acaba de descubrir una nueva técnica de tapjacking bastante ingeniosa (y preocupante) llamada TapTrap, que puede usar las animaciones del sistema en Android para saltarse los permisos de seguridad. En otras palabras, puede hacer que los usuarios den acceso a información sensible o incluso los engañe para que borren todo su dispositivo… sin darse cuenta.
Lo curioso (y peligroso) es que, a diferencia del tapjacking tradicional (que depende de superponer ventanas visibles), TapTrap funciona sin necesidad de permisos especiales. Puede activar una pantalla “inocente” al mismo tiempo que otra con intenciones maliciosas. Y lo peor: este truco sigue siendo efectivo incluso en las versiones más recientes de Android, como la 15 y la 16.
Detrás de este descubrimiento está un grupo de especialistas en seguridad de la Universidad Técnica de Viena y la Universidad de Bayreuth (Philipp Beer, Marco Squarcina, Sebastian Roth y Martina Lindorfer). Aunque la presentación oficial será el próximo mes, ya compartieron un documento técnico completo y hasta crearon un sitio web donde explican todo paso a paso.
¿Cómo funciona TapTrap?
TapTrap se aprovecha de cómo Android muestra las transiciones entre pantallas usando animaciones personalizadas. Lo que hace es crear un “engaño visual”: el usuario cree que está viendo una cosa, pero en realidad el dispositivo está registrando otra muy distinta.
Te lo explicamos con un ejemplo: una app maliciosa instalada en el teléfono lanza en segundo plano una pantalla importante del sistema, como una solicitud de permisos o ajustes del dispositivo. Para lograr esto, usa un truco llamado startActivity() junto con una animación que prácticamente la vuelve invisible.
Según los investigadores, la clave está en esa animación personalizada: hacen que la opacidad (es decir, qué tan visible es la pantalla) esté tan baja como 0.01. Eso hace que la nueva actividad, aunque está ahí, sea casi transparente y el usuario ni se entere de que está interactuando con ella.
Y para colmo, pueden aplicar un efecto de zoom que hace que, por ejemplo, un botón de “permitir acceso” se agrande y ocupe buena parte de la pantalla. Así, es mucho más probable que el usuario lo toque sin querer mientras cree que está haciendo otra cosa completamente inocente.
Descripción general de TapTrap (Fuente: taptrap.click)
Aunque el sistema detecta los toques del usuario en una pantalla, lo que realmente ve la persona es algo totalmente distinto: la app “normal” que parece estar funcionando en primer plano. Pero en realidad, encima de todo eso, hay una pantalla casi invisible que es la que está registrando los toques. Un engaño en toda regla.
Esto hace que el usuario piense que está interactuando con algo inofensivo (como un juego o una app conocida), cuando en realidad está tocando sin querer botones peligrosos como “Permitir” o “Autorizar”, que pueden dar acceso a la cámara, al micrófono o a otros datos sensibles.
De hecho, los investigadores mostraron en un video cómo un simple juego podría usar TapTrap para lograr que el navegador Chrome diera acceso a la cámara… sin que el usuario lo note en ningún momento.
Podría interesarte leer: Extensiones Maliciosas en Chrome con 1.7 Millones de Descargas
¿Qué tan grave es el riesgo?
Para saber si este ataque podría afectar a apps que usamos a diario, el equipo analizó unas 100.000 aplicaciones de la Play Store. ¿El resultado? Aproximadamente el 76% son vulnerables a TapTrap porque cumplen con ciertas condiciones técnicas, como:
-
Permiten que otra app inicie una de sus pantallas.
-
Esa pantalla se ejecuta dentro de la misma “tarea” que la app maliciosa.
-
No anulan las animaciones por defecto.
-
Y además, reaccionan al toque del usuario antes de que la animación termine.
¿Lo preocupante? Esas animaciones vienen activadas por defecto en Android, y la mayoría de los usuarios ni siquiera sabe que se pueden desactivar desde las opciones de desarrollador o configuración de accesibilidad.
El ataque fue desarrollado usando Android 15, pero luego probaron también con Android 16 (la versión más reciente al momento de escribir esto), en un Google Pixel 8a. Y sí: sigue funcionando.
Incluso desde GrapheneOS (un sistema operativo centrado en la privacidad) confirmaron que Android 16 es vulnerable. Afortunadamente, ya anunciaron que lanzarán pronto una actualización con una solución.
En cuanto a Google, dijeron que están al tanto del problema y que planean solucionarlo en una próxima actualización del sistema. También recordaron que las políticas de Google Play prohíben este tipo de comportamiento y que tomarán medidas si alguna app las viola.