Gli ignari utenti Android potrebbero trovare malware avvolto in file di immagini

[ware_item id=33][/ware_item]

Gli ignari utenti Android potrebbero trovare malware avvolto in file di immagini


I ricercatori hanno scoperto una nuova tecnica che potrebbe consentire la consegna di app dannose agli utenti Android ignari tramite file di immagini.

La ricercatrice di malware Fortinet Axelle Apvrille e l'ingegnere inverso di Corkami Ange Albertini hanno ideato un attacco proof-of-concept (POC) e lo hanno dimostrato alla conferenza Black Hat Europe della scorsa settimana ad Amsterdam.

Utilizzando uno strumento personalizzato sviluppato da Albertini, soprannominato AngeCryption, la coppia è stata in grado di crittografare un pacchetto di applicazioni Android (APK) payload e farlo sembrare un file di immagine (hanno usato un PNG ma altri formati di file di immagine funzionano altrettanto bene).

Hanno quindi creato un secondo APK che portava l'immagine di "trappola esplosiva". Questo secondo APK non era solo avvolto e nascosto il primo, ma aveva anche la possibilità di decifrare e quindi installarlo.

In un documento che accompagna il discorso di Black Hat, i ricercatori hanno scritto che "è possibile crittografare qualsiasi input in un'immagine JPG o PNG scelta ... il codice è in grado di trasformare questa immagine insospettabile in un altro APK, portando il payload dannoso". per dire che "L'analisi statica, come il disassemblaggio, dell'APK di wrapping non rivela nulla di particolare su quel bytecode (a parte se annulliamo il pacchetto di crittografia)."

Ingannando il sistema di wrapping delle app per Android in questo modo, il duo è stato in grado di creare un pacchetto che probabilmente sfuggirebbe al rilevamento e oltrepasserebbe il Bouncer di Google Play, così come le app di sicurezza.

I test di Apvrille e Albertinis hanno rivelato che il sistema Android ha presentato una richiesta di autorizzazione quando il file wrapper legittimo ha tentato di installare l'APK dannoso, ma è stato possibile impedirlo utilizzando DexClassLoader.

La coppia ha anche rivelato come potrebbe essere implementato l'attacco - l'app in questione può essere caricata solo se alcuni dati possono essere aggiunti dopo il marker zip End of Central Directory (EOCD) - per raggiungere questo obiettivo hanno semplicemente aggiunto un altro EOCD dopo i dati aggiuntivi.

È stato riscontrato che l'attacco funziona con l'ultima versione del sistema operativo Android (4.2.2) ma la divulgazione responsabile della coppia indica che il team di sicurezza Android è a conoscenza del problema dal 27 maggio, consentendo loro di creare una correzione che è stata resa disponibile il 6 giugno. La soluzione di Google impedisce che i dati vengano aggiunti dopo l'EOCD ma vi sono alcuni dubbi sul fatto che verifichino dopo la prima istanza. Pertanto, il team di sicurezza di Android sta continuando a esaminare il problema e potrebbero seguire ulteriori correzioni.

Detto questo, l'ecosistema Android spesso non è il più veloce quando si tratta di diffondere gli aggiornamenti di sicurezza e molti utenti sono lenti nell'installarli o scelgono di non farlo, il che significa che molti potrebbero essere vulnerabili a questo tipo di attacco per un po 'di tempo a venire.

Nel frattempo, i ricercatori avvertono che non esiste un modo reale per rilevare ciò che l'APK del payload non riesce a decifrare effettivamente il file di immagine. Il loro consiglio agli ingegneri della sicurezza è di tenere d'occhio tutte le app che decifrano risorse o risorse, ricordando che il loro POC potrebbe essere offuscato da un utente malintenzionato.

Suggeriscono inoltre di eseguire le applicazioni all'interno di una sandbox fino a quando non è possibile verificare la presenza di comportamenti dannosi o imprevisti che diventeranno evidenti quando eseguiti anche se il payload effettivo può essere nascosto.

Inoltre, raccomandano di aggiungere vincoli più forti agli APK per impedire la decodifica delle immagini in un APK valido.

Gli ignari utenti Android potrebbero trovare malware avvolto in file di immagini
admin Author
Sorry! The Author has not filled his profile.