Pengguna Android yang tidak curiga dapat mencari malware yang dibungkus dalam fail imej

Penyelidik telah menemui satu teknik baru yang boleh membenarkan aplikasi berniat jahat dihantar kepada pengguna Android yang tidak diingini melalui fail imej.

Penyelidik malware Fortinet Axelle Apvrille dan jurutera terbalik Corkami Ange Albertini menyusun serangan konsep (POC) dan membuktikannya pada persidangan Black Hat Europe minggu lepas di Amsterdam.

Menggunakan alat khusus yang dibangunkan oleh Albertini, yang digelar AngeCryption, pasangan itu mampu menyulitkan pakej aplikasi Android muatan (APK) dan membuatnya kelihatan seperti fail imej (mereka menggunakan PNG tetapi format fail imej lain juga berfungsi).

Mereka kemudiannya membuat APK kedua yang membawa imej yang ‘terperangkap’. APK kedua ini bukan sahaja dibalut dan menyembunyikan yang pertama, ia juga mempunyai keupayaan untuk mendekripsi dan kemudian memasangnya.

Di dalam kertas yang mengiringi ceramah Black Hat para penyelidik menulis bahawa “adalah mungkin untuk menyulitkan apa-apa input ke dalam imej JPG atau PNG yang dipilih … kod itu dapat mengubah imej yang tidak diingini ini ke APK lain, membawa muatan jahat.” untuk mengatakan bahawa “Analisis statik, seperti dis-pemasangan, APK pembungkus tidak mendedahkan apa-apa yang khusus mengenai bytecode itu (selain jika kita membatalkan pembungkusan penyulitan).”

Dengan menipu sistem pembungkusan apl Android dengan cara ini, kedua-dua orang itu dapat membuat satu pakej yang mungkin mengelakkan pengesanan dan melewati Bouncer Google Play, serta aplikasi keselamatan.

Ujian Apvrille dan Albertinis mendedahkan bahawa sistem Android telah mengemukakan permintaan kebenaran apabila fail pembalut yang sah cuba memasang APK berniat jahat tetapi juga dapat dicegah dengan menggunakan DexClassLoader.

Pasangan itu juga mendedahkan bagaimana serangan itu dapat dilaksanakan – aplikasi yang dipersoalkan hanya boleh dimuatkan sekiranya beberapa data boleh dilampirkan selepas Penanda zip Pusat Akhir (EOCD) – untuk mencapai ini, mereka hanya menambah EOCD lain selepas data tambahan.

Serangan itu didapati bekerja dengan versi terbaru sistem pengendalian Android (4.2.2) tetapi pendedahan yang bertanggungjawab pasangannya bermaksud Pasukan Keselamatan Android telah menyedari isu itu sejak 27 Mei, membolehkan mereka membuat satu pembetulan yang telah disediakan pada 6 Jun. Penyelesaian Google menghalang data yang dilampirkan selepas EOCD tetapi ada keraguan tentang sama ada ia menyemak selepas contoh pertama. Oleh itu, Pasukan Keselamatan Android terus meneliti isu ini dan pembetulan selanjutnya mungkin mengikuti.

Yang mengatakan, ekosistem Android sering kali tidak tercepat apabila menyebarkan kemas kini keselamatan, dan ramai pengguna sama ada lambat memasangnya atau memilih untuk tidak melakukannya, yang bermaksud ramai mungkin terdedah kepada serangan jenis ini untuk sementara waktu yang akan datang.

Pada masa yang sama, para penyelidik memberi amaran bahawa tidak ada cara yang nyata untuk mengesan APK muatan yang tidak betul-betul menafsirkan fail imej. Nasihat mereka kepada para jurutera keselamatan adalah untuk memastikan pengawasan terhadap apa-apa aplikasi yang menyahsulit sumber atau aset, dengan mengingati bahawa POC mereka boleh dibongkar oleh penyerang.

Mereka juga mencadangkan aplikasi yang berjalan dalam kotak pasir sehingga mereka boleh diperiksa untuk tingkah laku yang berniat jahat atau tidak dijangka yang akan menjadi jelas apabila dijalankan walaupun muatan sebenar dapat disembunyikan.

Selain itu, mereka mengesyorkan menambahkan kekangan yang lebih kuat kepada APK untuk menghalang imej daripada menyalin semula kepada APK yang sah.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me