Pengguna Android yang tidak curiga dapat menemukan malware yang dibungkus dengan file gambar

[ware_item id=33][/ware_item]

Pengguna Android yang tidak curiga dapat menemukan malware yang dibungkus dengan file gambar


Para peneliti telah menemukan teknik baru yang dapat memungkinkan aplikasi jahat dikirimkan ke pengguna Android yang tidak curiga melalui file gambar.

Peneliti malware Fortinet, Axelle Apvrille dan Corkami, Ange Albertini, merancang serangan proof-of-concept (POC) dan mendemonstrasikannya pada konferensi Black Hat Europe minggu lalu di Amsterdam..

Menggunakan alat khusus yang dikembangkan oleh Albertini, dijuluki AngeCryption, pasangan ini dapat mengenkripsi paket aplikasi Android payload (APK) dan membuatnya terlihat seperti file gambar (mereka menggunakan PNG tetapi format file gambar lainnya berfungsi dengan baik).

Mereka kemudian membuat APK kedua yang membawa gambar 'jebakan-jebakan'. APK kedua ini tidak hanya membungkus dan menyembunyikan yang pertama, tetapi juga memiliki kemampuan untuk mendekripsi dan kemudian menginstalnya.

Dalam sebuah makalah yang menyertai pembicaraan Black Hat para peneliti menulis bahwa "adalah mungkin untuk mengenkripsi input apa pun ke dalam gambar JPG atau PNG yang dipilih ... kode tersebut dapat mengubah gambar yang tidak menguntungkan ini menjadi APK lain, membawa muatan berbahaya." terus mengatakan bahwa "Analisis statis, seperti dis-assembly, dari pembungkus APK tidak mengungkapkan sesuatu yang khusus tentang bytecode itu (terpisah jika kita membatalkan kemasan enkripsi)."

Dengan mengelabui sistem pembungkus aplikasi Android dengan cara ini, keduanya mampu membuat paket yang kemungkinan akan menghindari deteksi dan melewati Bouncer Google Play, serta aplikasi keamanan..

Pengujian Apvrille dan Albertinis mengungkapkan bahwa sistem Android memang menyajikan permintaan izin ketika file pembungkus yang sah mencoba untuk menginstal APK jahat tetapi bahkan itu dapat dicegah dengan menggunakan DexClassLoader.

Pasangan ini juga mengungkapkan bagaimana serangan itu dapat dilaksanakan - aplikasi yang dimaksud hanya dapat dimuat jika beberapa data dapat ditambahkan setelah penanda zip End of Central Directory (EOCD) - untuk mencapai hal ini mereka hanya menambahkan EOCD lain setelah data tambahan.

Serangan itu ditemukan bekerja dengan versi terbaru dari sistem operasi Android (4.2.2) tetapi pengungkapan yang bertanggung jawab pasangan berarti Tim Keamanan Android telah menyadari masalah ini sejak 27 Mei, memungkinkan mereka untuk membuat perbaikan yang disediakan pada 6 Juni. Solusi Google mencegah data ditambahkan setelah EOCD tetapi ada keraguan apakah memeriksa setelah contoh pertama. Dengan demikian Tim Keamanan Android terus mencari masalah dan perbaikan lebih lanjut dapat mengikuti.

Yang mengatakan, ekosistem Android sering kali bukan yang tercepat untuk menyebarluaskan pembaruan keamanan, dan banyak pengguna yang lambat dalam menginstalnya atau memilih untuk tidak melakukannya, yang berarti banyak orang mungkin rentan terhadap serangan jenis ini untuk sementara waktu yang akan datang.

Sementara itu, para peneliti memperingatkan bahwa tidak ada cara nyata untuk mendeteksi apa yang dilakukan payload APK selain mendekripsi file gambar. Saran mereka kepada insinyur keamanan adalah untuk mengawasi aplikasi apa pun yang mendekripsi sumber daya atau aset, mengingat bahwa POC mereka dapat dikaburkan oleh penyerang.

Mereka juga menyarankan menjalankan aplikasi di dalam kotak pasir sampai mereka dapat diperiksa untuk perilaku berbahaya atau tidak terduga yang akan menjadi jelas ketika dijalankan meskipun muatan sebenarnya dapat disembunyikan.

Juga, mereka merekomendasikan penambahan batasan yang lebih kuat pada APK untuk mencegah gambar didekripsi menjadi APK yang valid.

Pengguna Android yang tidak curiga dapat menemukan malware yang dibungkus dengan file gambar
admin Author
Sorry! The Author has not filled his profile.