Security

Vulnerabilidad de EngageSDK Android expuso wallets

3 min de lectura

Resumen

Microsoft reveló una grave falla de redirección de intents en EngageSDK para Android, un SDK de terceros, que puso en riesgo potencial a millones de usuarios de crypto wallets por exposición de datos y escalación de privilegios. El problema se corrigió en EngageSDK versión 5.2.1, y el caso subraya el creciente riesgo de seguridad de las dependencias opacas en la cadena de suministro de apps móviles.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha revelado un grave problema de seguridad en Android en una biblioteca de terceros ampliamente utilizada, EngageSDK. Aunque no se encontró evidencia de explotación activa, afectó a apps instaladas a gran escala y sirve como recordatorio de que los SDK de terceros pueden introducir silenciosamente un riesgo importante en la cadena de suministro de apps móviles que, por lo demás, parecen confiables.

Qué ocurrió

La vulnerabilidad es una falla de redirección de intents en EngageSDK, una biblioteca utilizada para mensajería y notificaciones push en apps de Android.

Los detalles clave incluyen:

  • El problema permitía que una app maliciosa en el mismo dispositivo abusara del contexto de confianza de la app vulnerable.
  • Esto podría provocar acceso no autorizado a componentes protegidos, exposición de datos sensibles y escalación de privilegios.
  • Microsoft indicó que más de 30 millones de instalaciones solo de apps de crypto wallet de terceros estuvieron potencialmente expuestas al riesgo.
  • La falla se rastreó hasta una actividad exportada de Android, MTCommonActivity, agregada por el SDK durante el proceso de compilación.
  • Debido a que aparece en el manifiesto combinado después de la compilación, los desarrolladores pueden pasarla por alto durante una revisión normal.

Microsoft coordinó la divulgación con EngageLab y el Android Security Team. El problema se resolvió en EngageSDK versión 5.2.1 el 3 de noviembre de 2025.

Por qué esto importa para los equipos de seguridad

Esta divulgación es importante más allá de las wallets de Android. Muestra cómo:

  • Los SDK de terceros pueden ampliar la superficie de ataque sin visibilidad clara
  • Los componentes exportados pueden crear límites de confianza no deseados entre apps
  • Las debilidades en la cadena de suministro de apps móviles pueden afectar a millones de usuarios al mismo tiempo

Android también añadió mitigaciones a nivel de plataforma para este riesgo específico de EngageSDK, y las apps detectadas como vulnerables fueron eliminadas de Google Play. Microsoft señaló que los usuarios que ya habían descargado apps vulnerables ahora cuentan con protección adicional.

Impacto en administradores y desarrolladores

Para los administradores de seguridad, este es un ejemplo claro de por qué la gobernanza de aplicaciones móviles debe incluir la revisión de dependencias, no solo la reputación de la app o la aprobación de la tienda.

Para los desarrolladores y equipos de DevSecOps, las principales lecciones son:

  • Revisar los manifiestos combinados de Android, no solo los manifiestos de origen
  • Auditar actividades exportadas y otros componentes expuestos
  • Validar el manejo de intents y los supuestos de confianza entre apps
  • Hacer seguimiento de las versiones de SDK de terceros como parte de la gestión de la cadena de suministro de software

Próximos pasos recomendados

  • Actualice EngageSDK de inmediato a la versión 5.2.1 o posterior si está presente en alguna app de Android.
  • Revise las apps móviles en busca de componentes exportados agregados por dependencias.
  • Añada análisis de dependencias y manifiestos a las comprobaciones de seguridad de CI/CD.
  • Utilice la guía de detección de Microsoft y los indicadores del aviso original para evaluar la exposición.

Este incidente refuerza un punto más amplio: la seguridad móvil está cada vez más determinada por las bibliotecas de las que dependen las apps, no solo por el código que los desarrolladores escriben directamente.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Artículos relacionados

Security

Ataques de nómina de Storm-2755 en Canadá

Microsoft ha detallado una campaña de Storm-2755 con motivación financiera dirigida a empleados canadienses mediante ataques de desvío de nómina. El actor de amenazas utilizó SEO poisoning, malvertising y técnicas adversary-in-the-middle para robar sesiones, eludir MFA heredado y modificar datos de depósito directo, lo que hace que el MFA resistente al phishing y la supervisión de sesiones sean defensas críticas.

Security

Secuestro de DNS en routers SOHO: alerta de Microsoft

Microsoft Threat Intelligence afirma que Forest Blizzard ha comprometido routers domésticos y de pequeñas oficinas vulnerables para secuestrar tráfico DNS y, en algunos casos, habilitar ataques adversary-in-the-middle contra conexiones objetivo. La campaña es relevante para los equipos de TI porque los dispositivos SOHO no administrados usados por empleados remotos e híbridos pueden exponer el acceso a la nube y datos sensibles incluso cuando los entornos corporativos siguen siendo seguros.

Security

Storm-1175 y Medusa ransomware: activos web en riesgo

Microsoft Threat Intelligence advierte que Storm-1175 está explotando rápidamente sistemas vulnerables expuestos a internet para desplegar Medusa ransomware, a veces en solo 24 horas desde el acceso inicial. El enfoque del grupo en fallas recientemente divulgadas, web shells, herramientas RMM y movimiento lateral rápido hace que la velocidad de parcheo, la gestión de la exposición y la detección posterior al compromiso sean fundamentales para los defensores.

Security

Phishing con device code por AI: campaña escala

Microsoft Defender Security Research detalló una campaña de phishing a gran escala que abusa del flujo OAuth de device code mediante señuelos generados por AI, generación dinámica de códigos e infraestructura backend automatizada. La campaña eleva el riesgo para las organizaciones porque mejora las tasas de éxito de los atacantes, elude patrones de detección tradicionales y permite el robo de tokens, la persistencia mediante reglas de bandeja de entrada y el reconocimiento con Microsoft Graph.

Security

Ciberataques con AI aceleran toda la cadena de ataque

Microsoft advierte que los actores de amenazas ya están incorporando AI en todo el ciclo de vida del ciberataque, desde el reconocimiento y el phishing hasta el desarrollo de malware y las operaciones posteriores al compromiso. Para los defensores, esto implica ataques más rápidos y precisos, mayores tasas de éxito en phishing y una necesidad creciente de reforzar la identidad, las protecciones de MFA y la visibilidad sobre superficies de ataque impulsadas por AI.

Security

Webshells PHP con cookies en Linux: evasión

Microsoft advierte que actores de amenazas están usando cookies HTTP para controlar webshells PHP en entornos de hosting Linux, lo que ayuda a que el código malicioso permanezca inactivo salvo que existan valores de cookie específicos. La técnica reduce la visibilidad en registros rutinarios, facilita la persistencia mediante cron jobs y resalta la necesidad de una supervisión más sólida, protección web y detección en endpoints en cargas de trabajo Linux alojadas.