TapLogger ha sido creado por Xu Zhi, estudiante de doctorado en el Departamento de Ciencias de la Computación e Ingeniería en PSU, Kun Bai, un investigador de IBM del Centro de Investigación Watson y Zhu Sencun, un profesor asociado de Ciencias de la Computación e Ingeniería de la Universidad de Ingeniería de PSU.
Ha sido diseñado como una prueba de concepto de un troyano para Android capaz de robar las contraseñas y otra información sensible utilizando los sensores de movimiento del smartphone para determinar qué teclas está pulsando la víctima en la pantalla táctil cuando desbloquea el terminal o introduce el número de la tarjeta de crédito durante una operación bancaria.
Los datos del acelerómetro y el sensor de orientación no están protegidos bajo el modelo de seguridad de Android, lo que significa que están expuestos a cualquier aplicación, independientemente de los permisos que se le otorguen. Así lo han asegurado los investigadores a través de un documento presentado durante el “ACM Conference on Security and Privacy in Wireless and Mobile Networks” de la semana pasada.
TapLogger tiene varios componentes que funcionan en segundo plano y que son capaces de conseguir y utilizar los datos de los sensores de movimiento para infectar las entradas que se realicen a través de la pantalla táctil.
Después de su instalación, TapLogger, este funciona en modo entrenamiento (30 rondas ) y recoge la información de los sensores mientras el usuario disfruta de lo que cree que es un juego. Es algo necesario porque los movimientos difieren de cada usuario y terminal. Una vez recogidos los suficientes datos, el troyano empieza a utilizarlo para interferir en el tecleo del usuario.