의심하지 않는 Android 사용자는 이미지 파일로 포장 된 맬웨어를 찾을 수 있습니다.

연구원들은 이미지 파일을 통해 의심없는 안드로이드 사용자에게 악성 앱을 제공 할 수있는 새로운 기술을 발견했습니다.

Fortinet 악성 코드 연구원 Axelle Apvrille과 Corkami 리버스 엔지니어 인 Ange Albertini는 POC (proof-of-concept) 공격을 고안하여 지난 주 암스테르담에서 열린 Black Hat Europe 컨퍼런스에서 시연했습니다..

AngeCryption이라는 Albertini가 개발 한 사용자 지정 도구를 사용하여 AKC (Payload Android Application Package)를 암호화하여 이미지 파일처럼 보이게 만들 수있었습니다 (PNG를 사용했지만 다른 이미지 파일 형식도 마찬가지로 작동 함).

그런 다음 ‘booby-trapped’이미지를 담은 두 번째 APK를 만들었습니다. 이 두 번째 APK는 감싸고 첫 번째를 숨길뿐만 아니라 암호를 해독 한 다음 설치할 수 있습니다.

연구진은 블랙 햇과 함께 발표 한 논문에서“선택한 JPG 또는 PNG 이미지로 입력 내용을 암호화 할 수있다… 코드는이 의심스러운 이미지를 다른 APK로 변환하여 악의적 인 페이로드를 전달한다”고 썼다. “랩핑 APK의 디스 어셈블리와 같은 정적 분석은 해당 암호화 코드를 실행 취소하는 경우를 제외하고 해당 바이트 코드에 대해 특별한 정보를 나타내지 않습니다.”

이러한 방식으로 Android 앱 래핑 시스템을 속임으로써 듀오는 탐지를 피하고 Google Play의 경비원 및 보안 앱을 통과 할 수있는 패키지를 만들 수있었습니다..

Apvrille과 Albertinis의 테스트에 따르면 합법적 인 래퍼 파일이 악성 APK를 설치하려고 시도했지만 DexClassLoader를 사용하여 차단할 수있는 경우에도 Android 시스템이 권한 요청을 표시했습니다..

이 쌍은 또한 공격이 어떻게 구현 될 수 있는지를 공개했습니다. 문제의 앱은 EOCD (End of Central Directory) zip 마커 이후에 일부 데이터를 추가 할 수있는 경우에만로드 할 수 있습니다.이를 달성하기 위해 추가 데이터 이후에 다른 EOCD를 추가했습니다.

이 공격은 최신 버전의 Android 운영 체제 (4.2.2)에서 작동하는 것으로 밝혀졌지만이 쌍의 책임 공개는 5 월 27 일 이후로 Android 보안 팀이이 문제를 인식하여 수정 사항을 만들 수 있음을 의미합니다. 6 월 6 일. Google의 솔루션은 EOCD 이후에 데이터가 추가되는 것을 방지하지만 첫 번째 인스턴스 이후에 데이터가 있는지 여부에 대해서는 의문의 여지가 있습니다. 따라서 Android 보안 팀은 계속해서 문제를 조사하고 있으며 추가 수정 사항은 다음과 같습니다..

즉, 보안 업데이트를 유포 할 때 Android 에코 시스템이 가장 빠르지 않은 경우가 많으며 많은 사용자가 설치 속도가 느리거나 설치하지 않기로 선택하는 경우가 많으므로 앞으로 이러한 유형의 공격에 취약 할 수 있습니다..

한편 연구원들은 페이로드 APK가 실제로 이미지 파일을 해독하는 데 부족한 부분을 감지하는 실제 방법이 없다고 경고합니다. 보안 엔지니어에 대한 조언은 공격자에 의해 POC가 난독 화 될 수 있음을 기억하면서 리소스 또는 자산을 해독하는 모든 앱에주의를 기울이는 것입니다..

또한 실제 페이로드가 숨겨져 있어도 실행시 분명해 지거나 악의적이거나 예기치 않은 동작이 있는지 확인할 수있을 때까지 샌드 박스 내에서 애플리케이션을 실행하는 것이 좋습니다..

또한 이미지를 유효한 APK로 해독하지 못하도록 APK에 더 강력한 제약 조건을 추가하는 것이 좋습니다..