Utilizatorii Android neobservători ar putea găsi malware înfășurat în fișiere imagine

Cercetătorii au descoperit o nouă tehnică care ar putea permite aplicațiilor rău intenționate să fie livrate utilizatorilor Android care nu respectă prin intermediul fișierelor de imagine.

Cercetătorul malware Fortinet, Axelle Apvrille, și inginerul invers Corkami, Ange Albertini, au conceput un atac de probă de concept (POC) și au demonstrat-o la conferința de Black Hat Europe de săptămâna trecută, la Amsterdam.

Folosind un instrument personalizat dezvoltat de Albertini, numit AngeCryption, perechea a reușit să cripteze un pachet de aplicații Android cu sarcină utilă (APK) și să-l facă să pară un fișier imagine (au folosit un PNG, dar și alte formate de fișiere imagine funcționează la fel de bine).

Apoi au creat un al doilea APK, care a purtat imaginea „prinsă de booby”. Acest al doilea APK nu a fost doar înfășurat și ascuns primul, ci a avut și capacitatea de a decripta și apoi a instala.

Într-o lucrare care însoțește discuția Black Hat, cercetătorii au scris că „este posibil să criptați orice intrare într-o imagine JPG sau PNG aleasă … codul este capabil să transforme această imagine nesuferită într-un alt APK, purtând sarcina utilă dăunătoare.” pentru a spune că „Analiza statică, cum ar fi dezasamblarea, a APK-ului de înfășurare nu dezvăluie nimic particular cu privire la acel bytecode (în afară de cazul în care anulăm pachetul de criptare).”

Înșelând sistemul de înfășurare a aplicațiilor Android în acest mod, duo-ul a reușit să creeze un pachet care ar putea evada detectarea și să depășească Bouncer-ul Google Play, precum și aplicațiile de securitate..

Testarea lui Apvrille și Albertinis a dezvăluit că sistemul Android a prezentat o solicitare de autorizare atunci când fișierul de înfășurare legitim a încercat să instaleze APK-ul rău intenționat, dar chiar și acest lucru ar putea fi împiedicat folosind DexClassLoader.

De asemenea, perechea a dezvăluit modul în care atacul ar putea fi implementat – aplicația în cauză poate fi încărcată doar dacă unele date pot fi anexate după marcajul zip End of Central Directory (EOCD) – pentru a realiza acest lucru, au adăugat pur și simplu un alt EOCD după datele suplimentare.

Sa constatat că atacul funcționează cu cea mai recentă versiune a sistemului de operare Android (4.2.2), dar dezvăluirea responsabilă a perechii înseamnă că echipa de securitate Android cunoaște problema din 27 mai, permițându-le să creeze o soluție care a fost pusă la dispoziție. pe 6 iunie. Soluția Google împiedică adăugarea datelor după EOCD, dar există o anumită îndoială dacă verifică după prima instanță. Astfel, echipa de securitate Android continuă să analizeze problema și ar putea urma remedieri suplimentare.

Acestea fiind spuse, ecosistemul Android nu este adesea cel mai rapid atunci când vine vorba de diseminarea actualizărilor de securitate, iar mulți utilizatori fie încetinesc în instalarea lor, fie aleg să nu facă acest lucru, ceea ce înseamnă că mulți pot fi vulnerabili la acest tip de atac pentru o perioadă următoare..

Între timp, cercetătorii avertizează că nu există o modalitate reală de a detecta ce face APK-ul de sarcină utilă în lipsa decriptării efective a fișierului imagine. Sfatul lor pentru inginerii de securitate este să păzească cu atenție orice aplicație care decriptează resurse sau active, amintind că POC-ul lor ar putea fi obfuscat de un atacator.

De asemenea, sugerează rularea aplicațiilor într-o cutie de nisip până când pot fi verificate pentru un comportament rău sau neașteptat, care va deveni evident atunci când este rulat, chiar dacă încărcarea reală poate fi ascunsă.

De asemenea, ei recomandă adăugarea de restricții mai puternice la APK-uri pentru a împiedica decriptarea imaginilor într-un APK valid.