Şüphesiz Android kullanıcıları resim dosyalarına sarılmış kötü amaçlı yazılım bulabilir

Şüphesiz Android kullanıcıları resim dosyalarına sarılmış kötü amaçlı yazılım bulabilir

Araştırmacılar, kötü niyetli uygulamaların şüpheli Android kullanıcılarına resim dosyaları aracılığıyla teslim edilmesine izin verebilecek yeni bir teknik keşfetti.

Fortinet kötü amaçlı yazılım araştırmacısı Axelle Apvrille ve Corkami ters mühendisi Ange Albertini bir kavram kanıtı (POC) saldırısı tasarladı ve bunu geçen hafta Amsterdam'daki Black Hat Europe konferansında gösterdi.

AngeCryption adlı Albertini tarafından geliştirilen özel bir araç kullanarak, çift bir yük Android uygulama paketini (APK) şifreleyebildi ve bir görüntü dosyası gibi görünmesini sağladı (bir PNG kullandılar, ancak diğer görüntü dosyası formatları da aynı şekilde çalışıyor).

Daha sonra "bubi tuzağı" imajını taşıyan ikinci bir APK oluşturdular. Bu ikinci APK sadece etrafına sarılıp ilkini saklamakla kalmadı, aynı zamanda şifresini çözme ve daha sonra yükleme yeteneğine de sahipti..

Black Hat konuşmasına eşlik eden bir makalede araştırmacılar, “herhangi bir girdiyi seçilen bir JPG veya PNG görüntüsüne şifrelemek mümkündür… kod, bu şüphesiz görüntüyü kötü niyetli yükü taşıyan başka bir APK'ya dönüştürebilir” yazdı. “Sarma APK'sının sökülmesi gibi statik analiz, bu bayt kodu hakkında özel bir şey ortaya çıkarmaz (şifreleme paketini geri alırsak ayrı olarak).”

Android uygulama sarma sistemini bu şekilde kandırarak ikili, tespit edilmekten kaçınacak ve Google Play'in Bouncer'ı ve güvenlik uygulamalarını aşacak bir paket oluşturabildi.

Apvrille ve Albertinis'in testi, meşru sarma dosyası kötü amaçlı APK'yı yüklemeye çalıştığında Android sisteminin bir izin isteği sunduğunu, ancak DexClassLoader kullanılarak önlenebildiğini ortaya koydu.

Parite ayrıca saldırının nasıl uygulanabileceğini de ortaya koydu - söz konusu uygulama yalnızca Merkezi Verilerin Sonu (EOCD) zip işaretinden sonra bazı veriler eklenebilirse yüklenebilir - bunu başarmak için ek verilerden sonra başka bir EOCD eklediler.

Saldırının Android işletim sisteminin en son sürümüyle (4.2.2) çalıştığı tespit edildi, ancak çiftin sorumlu açıklaması, Android Güvenlik Ekibinin 27 Mayıs'tan bu yana sorunun farkında olduğunu ve mevcut bir düzeltme oluşturmalarını sağladığını gösteriyor. 6 Haziran. Google’ın çözümü, verilerin EOCD'den sonra eklenmesini önler, ancak ilk aşamadan sonra kontrol edilip edilmediğine dair bazı şüpheler vardır. Bu nedenle Android Güvenlik Ekibi sorunu araştırmaya devam ediyor ve başka düzeltmeler de gelebilir.

Bununla birlikte, Android ekosistemi, güvenlik güncellemelerini yayma konusunda genellikle en hızlı değildir ve birçok kullanıcı ya bunları yüklemede yavaştır ya da yapmamayı tercih eder, yani birçoğu bir süreliğine bu tür saldırılara karşı savunmasız olabilir..

Bu arada araştırmacılar, yük APK'sının görüntü dosyasının şifresini çözmekten kısa bir süre sonra ne yaptığını tespit etmenin gerçek bir yolu olmadığı konusunda uyarıyorlar. Güvenlik mühendislerine tavsiyeleri, POC'lerinin bir saldırgan tarafından gizlenebileceğini hatırlayarak kaynakların veya varlıkların şifresini çözen tüm uygulamalara dikkatle bakmaktır..

Ayrıca, gerçek yük yükü gizlenebilse bile çalıştırıldığında belirgin olacak kötü amaçlı veya beklenmedik davranışlar için denetleninceye kadar uygulamaları sanal alan içinde çalıştırmayı önerirler..

Ayrıca, görüntülerin geçerli bir APK'ya şifresini çözmesini önlemek için APK'lara daha güçlü kısıtlamalar eklemenizi önerirler.

Şüphesiz Android kullanıcıları resim dosyalarına sarılmış kötü amaçlı yazılım bulabilir
admin Author
Sorry! The Author has not filled his profile.