Netušiaci používatelia systému Android môžu nájsť malware zabalený v obrazových súboroch

Vedci objavili novú techniku, ktorá by mohla umožniť doručovanie škodlivých aplikácií netušiacim používateľom systému Android prostredníctvom obrazových súborov.

Výskumník škodlivých programov Fortinet Axelle Apvrille a reverzný inžinier Corkami Ange Albertini vymysleli útok proti konceptu (POC) a demonštrovali to na minulotýždňovej konferencii Black Hat Europe v Amsterdame.

Pomocou vlastného nástroja vyvinutého spoločnosťou Albertini, nazvaného AngeCryption, bol pár schopný zašifrovať aplikačný balík Android s užitočným zaťažením (APK) a urobiť ho tak, aby vyzeral ako obrazový súbor (používali PNG, ale rovnako fungujú aj iné formáty obrazových súborov)..

Potom vytvorili druhý súbor APK, ktorý nesie obraz „v pasci“. Tento druhý súbor APK bol nielen zabalený a prvý skryl, ale mal tiež schopnosť dešifrovať a potom ho nainštalovať.

V príspevku sprevádzajúcom diskusiu Black Hat vedci napísali, že „je možné zašifrovať akýkoľvek vstup do vybraného obrázka JPG alebo PNG … kód dokáže tento nepriaznivý obraz transformovať do iného súboru APK, ktorý nesie škodlivé užitočné zaťaženie.“ ďalej, že „Statická analýza baliaceho súboru APK, napríklad demontáž, neodhaľuje nič konkrétne o tomto bajtkode (okrem toho, ak zrušíme šifrovacie balenie).“

Tým, že týmto spôsobom podviedli systém balenia aplikácií pre Android, duo dokázalo vytvoriť balík, ktorý by sa pravdepodobne vyhýbal detekcii a obišiel Bouncer Google Play, ako aj bezpečnostné aplikácie..

Testovanie spoločností Apvrille a Albertinis odhalilo, že systém Android predložil žiadosť o povolenie, keď sa legitímny súbor s balíkom pokúsil nainštalovať škodlivý súbor APK, ale aj tomu sa dalo zabrániť použitím DexClassLoader.

Dvojica tiež odhalila, ako by sa útok mohol zrealizovať – ​​príslušnú aplikáciu je možné načítať, iba ak je možné niektoré údaje pripojiť po značke PSČ koncového bodu centrálneho adresára (EOCD)..

Pri útoku sa zistilo, že pracuje s najnovšou verziou operačného systému Android (4.2.2), ale zodpovedné odhalenie dvojice znamená, že tím zabezpečenia Android bol o probléme informovaný už od 27. mája, čo im umožňuje vytvoriť opravu, ktorá bola sprístupnená. 6. júna. Riešenie spoločnosti Google bráni tomu, aby sa údaje pridávali po EOCD, ale existujú pochybnosti o tom, či sa skontroluje po prvom stupni. Tím pre zabezpečenie systému Android sa preto touto otázkou naďalej zaoberá a môžu nasledovať ďalšie opravy.

To znamená, že ekosystém Android často nie je najrýchlejší, pokiaľ ide o šírenie aktualizácií zabezpečenia, a mnohí používatelia ich buď inštalujú pomaly, alebo sa ich rozhodnú neurobiť, čo znamená, že mnohí môžu byť na tento druh útoku na chvíľu zraniteľní..

Medzitým vedci varujú, že neexistuje reálny spôsob, ako zistiť, čo užitočné súbory APK dokážu skutočne dešifrovať obrazový súbor. Ich radou pre bezpečnostných technikov je dohliadať na všetky aplikácie, ktoré dešifrujú zdroje alebo aktíva, pričom nezabúdajú na to, že by ich POC mohol útočník zahanbiť.

Navrhujú tiež spúšťanie aplikácií v karanténe, kým nie je možné skontrolovať ich škodlivé alebo neočakávané správanie, ktoré sa prejaví pri spustení, aj keď je možné skryť skutočné užitočné zaťaženie..

Odporúčajú tiež pridať prísnejšie obmedzenia do súborov APK, aby sa zabránilo dekódovaniu obrázkov na platný súbor APK.