Los usuarios de Android desprevenidos podrían encontrar malware envuelto en archivos de imagen

[ware_item id=33][/ware_item]

Los usuarios de Android desprevenidos podrían encontrar malware envuelto en archivos de imagen


Los investigadores han descubierto una nueva técnica que podría permitir la entrega de aplicaciones maliciosas a usuarios desprevenidos de Android a través de archivos de imagen.

La investigadora de malware de Fortinet Axelle Apvrille y el ingeniero de ingeniería inversa de Corkami Ange Albertini idearon un ataque de prueba de concepto (POC) y lo demostraron en la conferencia Black Hat Europe de la semana pasada en Amsterdam.

Utilizando una herramienta personalizada desarrollada por Albertini, denominada AngeCryption, la pareja pudo cifrar un paquete de aplicaciones de Android (APK) y hacer que parezca un archivo de imagen (utilizaron un PNG pero otros formatos de archivo de imagen funcionan igual de bien).

Luego crearon un segundo APK que llevaba la imagen de "bobo-atrapado". Este segundo APK no solo se envolvió y ocultó el primero, sino que también tuvo la capacidad de descifrarlo y luego instalarlo.

En un documento que acompaña a la charla de Black Hat, los investigadores escribieron que "es posible cifrar cualquier entrada en una imagen JPG o PNG elegida ... el código puede transformar esta imagen poco sospechosa en otra APK, llevando la carga maliciosa". para decir que "el análisis estático, como el desarmado, del APK de envoltura no revela nada en particular sobre ese código de bytes (aparte si deshacemos el paquete de cifrado)".

Al engañar al sistema de ajuste de aplicaciones de Android de esta manera, el dúo pudo crear un paquete que probablemente evadiría la detección y superaría el Bouncer de Google Play, así como las aplicaciones de seguridad.

Las pruebas de Apvrille y Albertinis revelaron que el sistema Android presentó una solicitud de permiso cuando el archivo contenedor legítimo intentó instalar el APK malicioso, pero incluso eso podría evitarse utilizando DexClassLoader.

La pareja también reveló cómo se podría implementar el ataque: la aplicación en cuestión solo se puede cargar si se pueden agregar algunos datos después del marcador zip Fin del directorio central (EOCD); para lograr esto, simplemente agregaron otro EOCD después de los datos adicionales.

Se descubrió que el ataque funciona con la última versión del sistema operativo Android (4.2.2), pero la divulgación responsable de la pareja significa que el Equipo de Seguridad de Android conoce el problema desde el 27 de mayo, lo que les permite crear una solución que estuvo disponible El 6 de junio. La solución de Google evita que se agreguen datos después de EOCD, pero existen dudas sobre si se verifica después de la primera instancia. Por lo tanto, el equipo de seguridad de Android continúa investigando el problema y pueden seguir otras soluciones.

Dicho esto, el ecosistema de Android a menudo no es el más rápido cuando se trata de difundir actualizaciones de seguridad, y muchos usuarios tardan en instalarlas o eligen no hacerlo, lo que significa que muchos pueden ser vulnerables a este tipo de ataque por un tiempo..

Mientras tanto, los investigadores advierten que no hay una forma real de detectar lo que hace el APK de carga útil, salvo descifrar el archivo de imagen. Su consejo para los ingenieros de seguridad es vigilar cualquier aplicación que descifre recursos o activos, recordando que un atacante podría ofuscar su POC..

También sugieren ejecutar aplicaciones dentro de un sandbox hasta que puedan verificarse si hay un comportamiento malicioso o inesperado que se hará evidente cuando se ejecute, aunque la carga útil real pueda estar oculta.

Además, recomiendan agregar restricciones más fuertes a los APK para evitar que las imágenes se descifren a un APK válido.

Los usuarios de Android desprevenidos podrían encontrar malware envuelto en archivos de imagen
admin Author
Sorry! The Author has not filled his profile.