Не сумњиви корисници Андроида могу пронаћи малваре умотан у датотеке са сликама

Не сумњиви корисници Андроида могу пронаћи малваре умотан у датотеке са сликама

Истраживачи су открили нову технику која би могла омогућити испоруку злонамерних апликација несумњивим Андроид корисницима путем слика.

Фортинет истраживач злонамјерног софтвера Акелле Апврилле и Цоркамијев обрнути инжењер Анге Албертини осмислили су напад доказа о концепту (ПОЦ) и демонстрирали га на прошлонедељној конференцији Блацк Хат Еуропе у Амстердаму.

Користећи прилагођени алат развијен од стране Албертинија, назван АнгеЦриптион, пар је успео да шифрира апликативни пакет корисног оптерећења за Андроид (АПК) и да изгледа као сликовна датотека (користили су ПНГ, али такође раде и други формати слика).

Затим су креирали други АПК који је носио слику "заробљене у пленишту". Овај други АПК није био само омотан и први је сакрио, већ је имао могућност да дешифрује и затим га инсталира.

У раду који је пратио разговор о Црној капи истраживачи су написали да је "могуће шифрирати било који улаз у одабрану ЈПГ или ПНГ слику ... код је у стању да ту несумњиву слику трансформише у други АПК, носећи злонамерни корисни терет." на основу тога да „Статичка анализа, попут расклапања, амбалажног АПК-а, не открива ништа посебно о том бајт коду (осим ако поништимо паковање шифровања).“

Откачивши систем за замотавање Андроид апликација на овај начин, двојац је успео да направи пакет који би вероватно избегао откривање и прошао кроз Боунцер Гоогле Плаи-а, као и безбедносне апликације.

Апврилле и Албертинис тестирање открили су да је Андроид систем поднео захтев за дозволу када је легитимна датотека омота покушала да инсталира злонамерни АПК, али чак је и то могло да се спречи коришћењем ДекЦлассЛоадер.

Пар је такође открио како се напад може спровести - предметна апликација се може учитати само ако се неки подаци могу додати након маркера за крај Централног именика (ЕОЦД) - да би то постигли једноставно су додали још један ЕОЦД након додатних података.

За напад је утврђено да сарађује са најновијом верзијом Андроид оперативног система (4.2.2), али обелодањивање одговорног пара значи да је Андроид безбедносни тим упознат са тим проблемом од 27. маја, што им је омогућило да креирају исправку која је постала доступна 6. јуна Гоогле-ово решење спречава да се подаци додају после ЕОЦД-а, али постоји одређена сумња да ли ће проверити након прве инстанце. Стога Андроид безбедносни тим наставља да разматра проблем и могу да уследе даље исправке.

Уз то, Андроид екосустав често није најбржи када је у питању ширење безбедносних исправки, а многи корисници су или спори у њиховом инсталирању или не желе да то ураде, што значи да многи могу бити изложени таквој врсти напада за неко време..

У међувремену, истраживачи упозоравају да не постоји реалан начин да се открије шта корисно оптерећење АПК-а недостаје заправо дешифровању датотеке слике. Њихов савет инжењерима безбедности је да пажљиво прате све апликације које дешифрују ресурсе или средства, памтећи да би њихов ПОЦ нападач могао да обесмисли.

Они такође предлажу да се апликације покрећу у песковном окружењу док их се не провери на злонамјерна или неочекивана понашања која ће постати видљива када се покрену иако се стварни корисни терет може сакрити.

Такође, препоручују додавање јачих ограничења АПК-има да спречите дешифровање слика на важећи АПК.

Не сумњиви корисници Андроида могу пронаћи малваре умотан у датотеке са сликама
admin Author
Sorry! The Author has not filled his profile.