Les utilisateurs Android sans méfiance pourraient trouver des logiciels malveillants enveloppés dans des fichiers image

[ware_item id=33][/ware_item]

Les utilisateurs Android sans méfiance pourraient trouver des logiciels malveillants enveloppés dans des fichiers image


Les chercheurs ont découvert une nouvelle technique qui pourrait permettre aux applications malveillantes d'être livrées à des utilisateurs Android sans méfiance via des fichiers image.

Axelle Apvrille, chercheuse sur les logiciels malveillants de Fortinet, et Ange Albertini, ingénieur inversé de Corkami, ont conçu une attaque par validation de principe (POC) et l'ont démontrée lors de la conférence Black Hat Europe à Amsterdam la semaine dernière..

À l'aide d'un outil personnalisé développé par Albertini, surnommé AngeCryption, la paire a pu crypter un package d'application Android (APK) de charge utile et le faire ressembler à un fichier image (ils ont utilisé un PNG mais d'autres formats de fichier d'image fonctionnent tout aussi bien).

Ils ont ensuite créé un deuxième fichier APK contenant l'image «piégée». Ce deuxième APK était non seulement enroulé et caché le premier, il avait également la possibilité de le décrypter puis de l'installer.

Dans un document accompagnant le discours de Black Hat, les chercheurs ont écrit qu '«il est possible de crypter n'importe quelle entrée dans une image JPG ou PNG choisie ... le code est capable de transformer cette image peu suspecte en un autre APK, transportant la charge utile malveillante». sur pour dire que "L'analyse statique, comme le démontage, de l'APK d'emballage ne révèle rien de particulier à propos de ce bytecode (à part si nous annulons l'emballage de chiffrement)."

En trompant le système d'emballage d'applications Android de cette manière, le duo a pu créer un package qui échapperait probablement à la détection et dépasserait le videur de Google Play, ainsi que des applications de sécurité.

Les tests d'Apvrille et d'Albertinis ont révélé que le système Android présentait une demande d'autorisation lorsque le fichier wrapper légitime tentait d'installer l'APK malveillant, mais même cela pourrait être empêché en utilisant DexClassLoader.

La paire a également révélé comment l'attaque pouvait être mise en œuvre - l'application en question ne peut être chargée que si certaines données peuvent être ajoutées après le marqueur zip EOCD (End of Central Directory) - pour y parvenir, elles ont simplement ajouté un autre EOCD après les données supplémentaires..

L'attaque s'est avérée fonctionner avec la dernière version du système d'exploitation Android (4.2.2), mais la divulgation responsable de la paire signifie que l'équipe de sécurité Android est au courant du problème depuis le 27 mai, ce qui lui a permis de créer un correctif qui a été rendu disponible. le 6 juin. La solution de Google empêche l'ajout de données après EOCD, mais il existe un doute quant à sa vérification après la première instance. Ainsi, l'équipe de sécurité Android continue d'étudier le problème et d'autres correctifs pourraient suivre.

Cela dit, l'écosystème Android n'est souvent pas le plus rapide lorsqu'il s'agit de diffuser des mises à jour de sécurité, et de nombreux utilisateurs sont lents à les installer ou choisissent de ne pas le faire, ce qui signifie que beaucoup peuvent être vulnérables à ce type d'attaque pendant un certain temps à venir.

Dans l'intervalle, les chercheurs avertissent qu'il n'y a pas de véritable moyen de détecter ce que l'APK de charge utile fait en réalité de décrypter le fichier image. Leur conseil aux ingénieurs de sécurité est de garder un œil vigilant sur toutes les applications qui décryptent les ressources ou les actifs, en se souvenant que leur POC pourrait être obscurci par un attaquant..

Ils suggèrent également d'exécuter des applications dans un sandbox jusqu'à ce qu'elles puissent être vérifiées pour un comportement malveillant ou inattendu qui deviendra évident lors de l'exécution même si la charge utile réelle peut être cachée.

En outre, ils recommandent d'ajouter des contraintes plus fortes aux fichiers APK pour empêcher les images de se décrypter en un fichier APK valide.

Les utilisateurs Android sans méfiance pourraient trouver des logiciels malveillants enveloppés dans des fichiers image
admin Author
Sorry! The Author has not filled his profile.