Ne sumljivi uporabniki Androida bi lahko našli zlonamerno programsko opremo, zavito v slikovne datoteke

Raziskovalci so odkrili novo tehniko, s katero lahko prek slikovnih datotek škodljivim uporabnikom Android pošljejo zlonamerne aplikacije.

Fortinetova raziskovalca zlonamerne programske opreme Axelle Apvrille in Corkamijev obratni inženir Ange Albertini sta zasnovala napad z dobrim konceptom (POC) in ga dokazala na pretekli teden na konferenci Black Hat Europe v Amsterdamu.

S pomočjo orodja po meri, ki ga je razvil Albertini, ki so ga poimenovali AngeCryption, je par lahko šifriral aplikacijski paket za Android s koristnim nalaganjem (APK) in naredil videz podobne slikovne datoteke (uporabljali so PNG, vendar tudi drugi formati slikovnih datotek delujejo enako dobro).

Nato so ustvarili drugo APK, ki je nosila sliko “ujet v plašč”. Ta drugi APK ni bil samo ovit in prvi je skril, imel je tudi možnost, da ga dešifrira in nato namesti.

V prispevku, ki je priložen pogovoru o Črni klobuki, so raziskovalci zapisali, da je “možno šifrirati kateri koli vhod v izbrano sliko JPG ali PNG … koda lahko to nejasno sliko pretvori v drug APK, ki nosi zlonamerno koristnost.” če povem, da “Statična analiza, na primer odstranjevanje, zaviti APK ne razkrije nič posebnega o tem bajt kodi (razen če razveljavimo šifrirno embalažo).”

S tem zapletom sistema zavijanja aplikacij za Android je dvojac lahko ustvaril paket, ki bi se verjetno izognil odkrivanju in se prehitel z odbojnikom Google Play, pa tudi varnostnimi aplikacijami.

Apvrille in Albertinisova testiranja so razkrila, da je sistem Android predložil zahtevo za dovoljenje, ko je zakonita datoteka zavijanja poskušala namestiti zlonamerni APK, vendar je celo to mogoče preprečiti z uporabo DexClassLoader.

Par je razkril tudi, kako je mogoče izvesti napad – zadevno aplikacijo je mogoče naložiti le, če se lahko po oznaki za konec centralnega imenika (EOCD) dodajo nekateri podatki – za dosego tega so preprosto dodali še en EOCD po dodatnih podatkih.

Za napad je bilo ugotovljeno, da deluje z najnovejšo različico operacijskega sistema Android (4.2.2), vendar pa razkritje odgovornega para pomeni, da je varnostna skupina Android poznala to težavo od 27. maja, kar jim je omogočilo, da ustvarijo popravek, ki je bil na voljo 6. junija. Googlova rešitev preprečuje, da bi se podatki po EOCD dodajali, vendar obstaja dvom, ali preverja po prvi stopnji. Zato varnostna skupina za Android še vedno preučuje težavo, zato lahko sledijo nadaljnji popravki.

Kljub temu ekosistem Android pogosto ni najhitrejši, ko gre za širjenje varnostnih posodobitev, in veliko uporabnikov jih počasi namesti ali pa se odločijo, da tega ne bodo storili, kar pomeni, da je marsikdo lahko še nekaj časa ranljiv za to vrsto napada.

Medtem raziskovalci opozarjajo, da ni pravega načina zaznati, kaj APK s koristno obremenitvijo primanjkuje, da bi dejansko dešifrirali slikovno datoteko. Njihov nasvet varnostnim inženirjem je, da pozorno spremljajo vse aplikacije, ki dešifrirajo vire ali sredstva, pri čemer ne pozabite, da bi lahko njihov POC napadalec napadalca.

Predlagajo tudi zagon aplikacij v peskovniku, dokler jih ne preverijo zlonamernega ali nepričakovanega vedenja, ki se bo pokazalo, ko se zažene, čeprav je dejanska koristnost.

Prav tako priporočajo dodajanje močnejših omejitev APK-jem, da se prepreči dešifriranje slik na veljaven APK.