Una vulnerabilidad en el instalador de Fortnite para dispositivos Android permitió que otras aplicaciones maliciosas lo explotaran para sustituir el paquete de contenido del juego por contenido ajeno y descargar malware, como descubrió Google.
La compañía de Mountain View envió un reporte a Epic Games el 15 de agosto en el que advertía al estudio sobre la vulnerabilidad presente en el instalador de Fortnite para Android y el 17 de agosto la compañía ya había solucionado el problema.
La falla de seguridad del instalador consistía en una vulnerabilidad derivada de la forma en la cual aplicaciones instaladas en el teléfono podían "secuestrar" al instalador para alojar malware en el almacenamiento externo, como detalla XDA Developers.
El pasado 9 de agosto Epic Games lanzó su versión de Fortnite para Android, aunque no lo hizo a través de Google Play, sino por paquetes APK directamente a través de su sitio oficial, en el que incluía el instalador afectado, o desde la tienda de Samsung.
La vulnerabilidad hallada se podía explotar de forma especial en los Samsung Galaxy. Para ello, un exploit de tipo Man-in-the-disk monitorizaba y vigilaba previamente todos los procesos que se producen dentro del almacenamiento externo del dispositivo en el cual se descarga, ya que posee permisos de lectura (habilitados de forma automática en Android 4.4 y las versiones posteriores). El problema detectado permitía a esta aplicación aprovechar los permisos que el instalador posee de forma predeterminada.
Al descargarse desde la tienda, la app de Fortnite para Samsung Galaxy ostenta de forma automática todos los permisos concedidos sin necesidad de solicitarlos al usuario. El juego no se almacenaba en un directorio propio, sino dentro del almacenamiento externo del dispositivo. Una vez acabado el proceso de instalación, el virus sustituía el paquete de Fortnite por otro propio con contenido malicioso.
La descarga de este nuevo contenido se producía de forma silenciosa, ya que se utilizaban los permisos de escritura que la aplicación de Fortnite lleva ligados. El virus llegaba a los dispositivos Galaxy de Samsung de los usuarios sin que estos fueran conscientes porque bloqueaba el sistema de notificaciones.
Además, si la aplicación falsa descargada iba enfocada a un kit de desarrollo de software (SDK) versión 22 o inferior (el propio de las versiones anteriores a Android 5.1), ésta contaba con todo tipo de permisos a la hora de la instalación y daba la posibilidad de infectar el dispositivo.
La vulnerabilidad también podía explotarse en otros dispositivos distintos a los Samsung Galaxy, pero en estos la descarga de la aplicación falsa no se realizaba de incógnito. Esto se debe a que Fortnite no se descargaba a través de la tienda, sino por medio de la página web, un lugar propiedad de un tercero.
El reporte de Google se realizó el día 15, Epic Games solucionó el problema dos días después por medio de la actualización 2.1.0 del juego y el 24 de agosto se hizo público este reporte. Con la nueva versión, Fortnite se instala directamente en el almacenamiento interno.
La versión móvil de Fortnite llegó a los Samsung Galaxy una semana antes de su salida, por medio de una aplicación propia de estos dispositivos disponible a través de la tienda de Samsung. Para el resto de los teléfonos Android, la descargaba se realizaba directamente desde la página web de Epic Games.
RL