{"id":31646,"date":"2025-11-26T17:39:41","date_gmt":"2025-11-26T15:39:41","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31646"},"modified":"2025-11-26T17:39:41","modified_gmt":"2025-11-26T15:39:41","slug":"pixnapping-cve-2025-48561","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/pixnapping-cve-2025-48561\/31646\/","title":{"rendered":"Vulnerabilidad Pixnapping: capturas de pantalla imposibles de bloquear de tu tel\u00e9fono Android"},"content":{"rendered":"

Android endurece constantemente las restricciones de las aplicaciones para evitar que los estafadores utilicen software malicioso para robar dinero, contrase\u00f1as y secretos de los usuarios. Sin embargo, una nueva vulnerabilidad denominada Pixnapping<\/a> elude todas las capas de protecci\u00f3n de Android y le permite a un atacante leer imperceptiblemente los p\u00edxeles de las im\u00e1genes de la pantalla, lo que equivale b\u00e1sicamente a realizar una captura de pantalla. Una aplicaci\u00f3n maliciosa sin permisos puede ver contrase\u00f1as, saldos de cuentas bancarias, c\u00f3digos de un solo uso y cualquier otra cosa que el propietario vea en la pantalla.<\/p>\n

Afortunadamente, Pixnapping es actualmente un proyecto puramente basado en la investigaci\u00f3n y a\u00fan no est\u00e1 siendo explotado activamente por los actores de amenazas. Se espera que Google corrija completamente la vulnerabilidad antes de que el c\u00f3digo de ataque se integre en malware real.<\/p>\n

Hoy en d\u00eda, la vulnerabilidad Pixnapping (CVE-2025-48561<\/a>) probablemente afecta a todos los tel\u00e9fonos inteligentes Android modernos, incluidos aquellos que ejecutan las \u00faltimas versiones de Android.<\/p>\n

Por qu\u00e9 las capturas de pantalla, la proyecci\u00f3n multimedia y la lectura de pantallas son peligrosas<\/h2>\n

Como lo demostr\u00f3 el ladr\u00f3n de datos OCR SparkCat<\/a> que descubrimos, los actores maliciosos ya dominan el procesamiento de im\u00e1genes. Si una imagen en un tel\u00e9fono inteligente contiene informaci\u00f3n valiosa, el malware puede detectarla, realizar un reconocimiento \u00f3ptico de caracteres directamente en el tel\u00e9fono y, a continuaci\u00f3n, filtrar los datos extra\u00eddos al servidor del atacante.<\/p>\n

SparkCat en particular es digno de menci\u00f3n porque logr\u00f3 infiltrarse en los marketplaces oficiales de aplicaciones, incluida la App Store. No ser\u00eda dif\u00edcil para una aplicaci\u00f3n maliciosa habilitada para Pixnapping replicar este truco, sobre todo teniendo en cuenta que el ataque no requiere ning\u00fan permiso especial.<\/p>\n

Una aplicaci\u00f3n que parece ofrecer una funci\u00f3n leg\u00edtima y \u00fatil podr\u00eda enviar de forma simult\u00e1nea y silenciosa c\u00f3digos de autenticaci\u00f3n multifactor<\/a> de un solo uso, contrase\u00f1as de billeteras electr\u00f3nicas y cualquier otra informaci\u00f3n a los estafadores.<\/p>\n

Otra t\u00e1ctica popular que utilizan los actores maliciosos es ver los datos requeridos tal como se muestran, en tiempo real. En este enfoque de ingenier\u00eda social, se contacta a la v\u00edctima a trav\u00e9s de una aplicaci\u00f3n de mensajer\u00eda y, bajo diversos pretextos, se la convence de activar la funci\u00f3n de compartir pantalla<\/a>.<\/p>\n

Anatom\u00eda del ataque Pixnapping<\/h2>\n

Los investigadores pudieron hacer capturas de pantalla del contenido de otras aplicaciones combinando m\u00e9todos ya conocidos para robar p\u00edxeles de navegadores y de unidades de procesamiento gr\u00e1fico (GPU) de tel\u00e9fonos ARM. La aplicaci\u00f3n atacante superpone silenciosamente ventanas transl\u00facidas sobre la informaci\u00f3n del objetivo y mide c\u00f3mo el sistema de v\u00eddeo combina los p\u00edxeles de estas ventanas superpuestas en una imagen final.<\/p>\n

Ya en 2013, los investigadores describieron un ataque que permit\u00eda que un sitio web cargara otro dentro de una parte de su propia ventana (mediante un iframe<\/a>) y, realizando operaciones leg\u00edtimas de superposici\u00f3n y transformaci\u00f3n de im\u00e1genes, infiriera exactamente qu\u00e9 se dibujaba o escrib\u00eda en el otro sitio. Aunque los navegadores modernos han mitigado ese ataque espec\u00edfico, un grupo de investigadores estadounidenses ha descubierto ahora c\u00f3mo aplicar el mismo principio b\u00e1sico a Android.<\/p>\n

La aplicaci\u00f3n maliciosa primero env\u00eda una llamada del sistema a la aplicaci\u00f3n objetivo. En Android, esto se conoce como intent<\/a>. Los intents generalmente permiten no solo el inicio simple de una aplicaci\u00f3n, sino tambi\u00e9n acciones como abrir inmediatamente un navegador para una URL espec\u00edfica o una aplicaci\u00f3n de mensajer\u00eda para el chat de un contacto espec\u00edfico. La aplicaci\u00f3n atacante env\u00eda un intent dise\u00f1ado para forzar a la aplicaci\u00f3n objetivo a mostrar la pantalla con la informaci\u00f3n confidencial. Se utilizan indicadores de lanzamiento ocultos especiales. La aplicaci\u00f3n atacante env\u00eda entonces un intent de lanzamiento a s\u00ed misma. Esta combinaci\u00f3n espec\u00edfica de acciones permite que la aplicaci\u00f3n v\u00edctima no aparezca en absoluto en la pantalla, pero sigue mostrando la informaci\u00f3n que busca el atacante en su ventana en segundo plano.<\/p>\n

En la segunda etapa del ataque, la aplicaci\u00f3n maliciosa superpone la ventana oculta de la aplicaci\u00f3n v\u00edctima con una serie de ventanas transl\u00facidas, cada una de las cuales cubre y difumina el contenido que hay debajo. Esta compleja disposici\u00f3n permanece invisible para el usuario, pero Android calcula diligentemente c\u00f3mo deber\u00eda verse esta combinaci\u00f3n de ventanas si el usuario la trajera al primer plano.<\/p>\n

La aplicaci\u00f3n atacante solo puede leer directamente los p\u00edxeles de sus propias ventanas transl\u00facidas; la imagen combinada final, que incorpora el contenido de la pantalla de la aplicaci\u00f3n v\u00edctima, no es directamente accesible para el atacante. Para eludir esta restricci\u00f3n, los investigadores emplean dos ingeniosos trucos: (i) el pixel espec\u00edfico que se va a robar se a\u00edsla de su entorno superponiendo la aplicaci\u00f3n v\u00edctima con una ventana casi opaca que tiene un \u00fanico punto transparente precisamente sobre el pixel objetivo; (ii) a continuaci\u00f3n, se coloca una capa de ampliaci\u00f3n sobre esta combinaci\u00f3n, que consiste en una ventana con un fuerte desenfoque activado.<\/p>\n

\"C\u00f3mo<\/a>

C\u00f3mo funciona la vulnerabilidad Pixnapping<\/p><\/div>\n

Para descifrar el resultado confuso y determinar el valor del pixel en la parte inferior, los investigadores aprovecharon otra vulnerabilidad conocida, GPU.zip<\/a> (esto puede parecer un enlace a un archivo, pero en realidad conduce al sitio web donde se muestra un art\u00edculo de investigaci\u00f3n).<\/p>\n

Esta vulnerabilidad se basa en el hecho de que todos los tel\u00e9fonos inteligentes modernos comprimen los datos de las im\u00e1genes que se env\u00edan desde la CPU a la GPU. Esta compresi\u00f3n no tiene p\u00e9rdidas (como un archivo ZIP), pero la velocidad de empaquetado y desempaquetado cambia seg\u00fan la informaci\u00f3n que se transmite. GPU.zip le permite a un atacante medir el tiempo que lleva comprimir la informaci\u00f3n. Al medir el tiempo de estas operaciones, el atacante puede inferir qu\u00e9 datos se est\u00e1n transfiriendo. Con la ayuda de GPU.zip, la aplicaci\u00f3n atacante puede leer correctamente el pixel aislado, borroso y ampliado de la ventana de la aplicaci\u00f3n de la v\u00edctima.<\/p>\n

Robar algo de tama\u00f1o considerable requiere repetir todo el proceso de robo de p\u00edxeles cientos de veces, ya que debe aplicarse a cada punto por separado. Sin embargo, esto es totalmente factible en poco tiempo. En una demostraci\u00f3n en v\u00eddeo<\/a> del ataque, se extrajo con \u00e9xito un c\u00f3digo de seis\u00a0d\u00edgitos de Google Authenticator en tan solo 22\u00a0segundos, mientras a\u00fan era v\u00e1lido.<\/p>\n

C\u00f3mo protege Android la confidencialidad de la pantalla<\/h2>\n

Los ingenieros de Google cuentan con casi dos\u00a0d\u00e9cadas de experiencia en la lucha contra diversos ataques a la privacidad, lo que ha dado lugar a una defensa por capas contra la captura ilegal de capturas de pantalla y v\u00eddeos. Una lista completa de estas medidas abarcar\u00eda varias p\u00e1ginas, por lo que solo enumeramos algunas protecciones clave:<\/p>\n