Nic niepodejrzewający użytkownicy Androida mogą znaleźć złośliwe oprogramowanie zawinięte w pliki obrazów

Badacze odkryli nową technikę, która umożliwia dostarczanie złośliwych aplikacji do niczego niepodejrzewających użytkowników Androida za pomocą plików obrazów.

Badacz szkodliwego oprogramowania Fortinet, Axelle Apvrille i inżynier odwrotny Corkami, Ange Albertini, opracowali atak typu proof-of-concept (POC) i zademonstrowali go na konferencji Black Hat Europe w Amsterdamie w zeszłym tygodniu.

Korzystając z niestandardowego narzędzia opracowanego przez Albertiniego, nazwanego AngeCryption, para była w stanie zaszyfrować pakiet aplikacji Android (APK) i sprawić, by wyglądał jak plik obrazu (użyli PNG, ale inne formaty plików obrazów również działają).

Następnie stworzyli drugi pakiet APK, który zawierał obraz „pułapki”. Ten drugi pakiet APK został nie tylko owinięty i ukrył pierwszy, ale również miał możliwość odszyfrowania, a następnie zainstalowania go.

W artykule towarzyszącym przemówieniu Black Hat naukowcy napisali, że „można zaszyfrować dowolne dane wejściowe w wybranym obrazie JPG lub PNG… kod jest w stanie przekształcić ten podejrzany obraz w inny plik APK, przenosząc złośliwą ładunek”. aby powiedzieć, że „Analiza statyczna, na przykład dezasemblacja, opakowania APK nie ujawnia niczego szczególnego w tym kodzie bajtowym (poza tym, że cofniemy pakowanie szyfrujące)”.

Oszukując system owijania aplikacji dla Androida w ten sposób, duet był w stanie stworzyć pakiet, który prawdopodobnie uniknie wykrycia i obejdzie Bouncera Google Play, a także aplikacji zabezpieczających.

Testy Apvrille i Albertinis ujawniły, że system Android przedstawił wniosek o pozwolenie, gdy legalny plik opakowania próbował zainstalować złośliwy pakiet APK, ale nawet temu można było zapobiec za pomocą DexClassLoader.

Para ujawniła również, w jaki sposób można zaimplementować atak – daną aplikację można załadować tylko wtedy, gdy niektóre dane można dodać po znaczniku zip End of Central Directory (EOCD) – w tym celu po prostu dodali kolejny EOCD po dodatkowych danych.

Stwierdzono, że atak działa z najnowszą wersją systemu operacyjnego Android (4.2.2), ale odpowiedzialne ujawnienie tej pary oznacza, że ​​zespół ds. Bezpieczeństwa Androida wiedział o tym problemie od 27 maja, umożliwiając im stworzenie poprawki, która została udostępniona 6 czerwca. Rozwiązanie Google zapobiega dodawaniu danych po EOCD, ale istnieją pewne wątpliwości, czy sprawdza to po pierwszej instancji. W związku z tym zespół ds. Bezpieczeństwa systemu Android nadal analizuje problem i mogą pojawić się dalsze poprawki.

To powiedziawszy, ekosystem Androida często nie jest najszybszy, jeśli chodzi o rozpowszechnianie aktualizacji bezpieczeństwa, a wielu użytkowników albo powolnie je instaluje, albo decyduje się tego nie robić, co oznacza, że ​​wielu może być narażonych na tego rodzaju atak przez jakiś czas.

W międzyczasie naukowcy ostrzegają, że nie ma prawdziwego sposobu na wykrycie, co robi pakiet APK, oprócz deszyfrowania pliku obrazu. Ich rada dla inżynierów bezpieczeństwa polega na pilnowaniu aplikacji, które odszyfrowują zasoby lub zasoby, pamiętając, że atakujący może zaciemnić ich POC.

Sugerują także uruchamianie aplikacji w piaskownicy, dopóki nie zostaną sprawdzone pod kątem złośliwego lub nieoczekiwanego zachowania, które stanie się widoczne po uruchomieniu, nawet jeśli rzeczywista ładowność może być ukryta.

Ponadto zalecają dodanie silniejszych ograniczeń do plików APK, aby zapobiec odszyfrowywaniu obrazów do prawidłowego pliku APK.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me