- Los piratas informáticos están utilizando unicode invisible para engañar a Android para abrir enlaces peligrosos de notificaciones
- El enlace se ve normal, pero Android abre en secreto algo más sin previo aviso o consentimiento
- Incluso las aplicaciones de confianza como WhatsApp e Instagram son vulnerables a esta explotación de notificación oculta
Una falla de seguridad en el sistema de notificación de Android podría permitir a los actores maliciosos engañar a los usuarios para que abran enlaces no deseados o activan acciones de aplicaciones ocultas, advirtieron los expertos.
La investigación de IO-No afirma que la falla radica en cómo Android analiza ciertos caracteres unicode dentro de las notificaciones.
Esto crea un desajuste entre lo que los usuarios ven y lo que el sistema procesa cuando aparece la sugerencia de “enlace abierto”.
Lo que ves no siempre es lo que obtienes
El problema proviene del uso de caracteres unicode invisibles o especiales integrados dentro de las URL.
Cuando se incluye en un mensaje, estos caracteres pueden hacer que Android interprete el texto visible y el enlace de acción real de manera diferente.
Por ejemplo, una notificación puede mostrar visiblemente “Amazon.com”, pero el código subyacente en realidad abre “Zon.com”, con un carácter de espacio de ancho cero insertado.
La notificación se muestra como “AMA[]Zon.com, “incluido el carácter oculto. Sin embargo, el motor de sugerencia interpreta que el carácter oculto como separador, lo que resulta en el lanzamiento de un sitio completamente diferente.
En algunos casos, los atacantes pueden redirigir a los usuarios no solo a los sitios web sino también a enlaces profundos que interactúan directamente con las aplicaciones.
El informe mostró cómo una URL acortada aparentemente inofensiva condujo a una llamada de WhatsApp.
Para hacer que los ataques sean menos detectables, los actores maliciosos pueden usar acortadores de URL e incrustar los enlaces en un texto de aspecto confiable.
La falla se vuelve particularmente peligrosa cuando se combina con enlaces de aplicaciones o “enlaces profundos” que pueden activar silenciosamente comportamientos, como iniciar mensajes, llamadas o abrir vistas de aplicaciones internas sin intención del usuario.
Las pruebas en dispositivos que incluyen el Google Pixel 9 Pro XL, Samsung Galaxy S25 y las versiones de Android más antiguas revelaron que este mal comportamiento afecta a las principales aplicaciones como WhatsApp, Telegram, Instagram, Discord y Slack.
Las aplicaciones personalizadas también se usaron para evitar el filtrado de personajes y validar el ataque en múltiples escenarios.
Dada la naturaleza de este defecto, muchas defensas estándar pueden quedarse cortas. Incluso las mejores soluciones antivirus pueden perder estas hazañas, ya que a menudo no involucran descargas tradicionales de malware.
En cambio, los atacantes manipulan el comportamiento de la interfaz de usuario y explotan las configuraciones de enlace de la aplicación. Por lo tanto, existe la necesidad de herramientas de protección de punto final, que ofrecen una detección más amplia basada en anomalías de comportamiento.
Para los usuarios en riesgo de robo de credenciales o abuso de aplicaciones, confiar en los servicios de protección de robo de identidad se vuelve crítico para monitorear la actividad no autorizada y asegurar datos personales expuestos.
Hasta que se implementa una solución formal, los usuarios de Android deben permanecer cautelosos con notificaciones y enlaces, especialmente aquellos de fuentes no familiarizadas o acortadores de URL.
