Nietsvermoedende Android-gebruikers kunnen malware in beeldbestanden vinden

[ware_item id=33][/ware_item]

Nietsvermoedende Android-gebruikers kunnen malware in beeldbestanden vinden


Onderzoekers hebben een nieuwe techniek ontdekt waarmee kwaadwillende apps kunnen worden afgeleverd aan nietsvermoedende Android-gebruikers via afbeeldingsbestanden.

Fortinet-malwareonderzoeker Axelle Apvrille en Corkami reverse engineer Ange Albertini bedachten een proof-of-concept-aanval (POC) en demonstreerden dit tijdens de Black Hat Europe-conferentie van afgelopen week in Amsterdam.

Met behulp van een door Albertini ontwikkelde aangepaste tool, genaamd AngeCryption, konden het paar een payload Android-applicatiepakket (APK) coderen en het eruit laten zien als een afbeeldingsbestand (ze gebruikten een PNG maar andere afbeeldingsbestandsformaten werken net zo goed).

Ze creëerden vervolgens een tweede APK met de afbeelding 'booby-trapped'. Deze tweede APK was niet alleen omwikkeld en verborg de eerste, het had ook de mogelijkheid om te decoderen en vervolgens te installeren.

In een paper bij de Black Hat talk schreven de onderzoekers dat "het mogelijk is om elke invoer te coderen in een gekozen JPG- of PNG-afbeelding ... de code is in staat deze niet-verdachte afbeelding om te zetten in een andere APK, die de kwaadaardige lading draagt." om te zeggen dat "Statische analyse, zoals demontage, van de APK-verpakking niets specifieks onthult over die bytecode (behalve als we de coderingsverpakking ongedaan maken)."

Door het Android-inpaksysteem op deze manier te misleiden, kon het duo een pakket maken dat waarschijnlijk detectie zou ontwijken en voorbij Bouncer van Google Play zou komen, evenals beveiligings-apps.

Uit de tests van Apvrille en Albertinis is gebleken dat het Android-systeem wel een toestemmingsverzoek heeft ingediend toen het legitieme wrapper-bestand probeerde de kwaadaardige APK te installeren, maar zelfs dat kon worden voorkomen door DexClassLoader te gebruiken.

Het paar onthulde ook hoe de aanval kon worden geïmplementeerd - de betreffende app kan alleen worden geladen als sommige gegevens kunnen worden toegevoegd na de zipmarkering van het einde van de Central Directory (EOCD) - om dit te bereiken voegden ze eenvoudig een andere EOCD toe na de aanvullende gegevens.

De aanval bleek te werken met de nieuwste versie van het Android-besturingssysteem (4.2.2), maar door de verantwoordelijke openbaarmaking van het paar is het Android Security Team op de hoogte van het probleem sinds 27 mei, waardoor ze een fix konden maken die beschikbaar werd gesteld op 6 juni. De oplossing van Google voorkomt dat gegevens worden toegevoegd na EOCD, maar er is enige twijfel over of deze na de eerste instantie wordt gecontroleerd. Daarom blijft het Android Security Team het probleem onderzoeken en kunnen er verdere oplossingen volgen.

Dat gezegd hebbende, is het Android-ecosysteem vaak niet het snelste als het gaat om het verspreiden van beveiligingsupdates, en veel gebruikers installeren ze traag of kiezen ervoor om dit niet te doen, wat betekent dat velen nog een tijdje kwetsbaar kunnen zijn voor dit soort aanvallen.

In de tussentijd waarschuwen de onderzoekers dat er geen echte manier is om te detecteren wat de APK van de nuttige lading doet om het afbeeldingsbestand niet daadwerkelijk te decoderen. Hun advies aan beveiligingsingenieurs is om alle apps die bronnen of middelen ontcijferen nauwlettend in de gaten te houden en te onthouden dat hun POC door een aanvaller kan worden verborgen.

Ze stellen ook voor om applicaties in een sandbox te draaien totdat ze kunnen worden gecontroleerd op kwaadaardig of onverwacht gedrag dat duidelijk wordt wanneer ze worden uitgevoerd, hoewel de werkelijke payload kan worden verborgen.

Ze raden ook aan sterkere beperkingen aan APK's toe te voegen om te voorkomen dat afbeeldingen worden gedecodeerd naar een geldige APK.

Nietsvermoedende Android-gebruikers kunnen malware in beeldbestanden vinden
admin Author
Sorry! The Author has not filled his profile.