کاربران مجهول به سیستم عامل آندروید می توانند بدافزارهای پیچیده شده را در پرونده های تصویری پیدا کنند


محققان تکنیک جدیدی را کشف کرده اند که می تواند برنامه های مخرب را از طریق فایل های تصویری به کاربران مظنون آندروید تحویل دهد.

محقق بدافزار Fortinet ، Axelle Apvrille و مهندس معکوس Corkami آنگ آلبرتینی یک حمله اثبات از مفهوم (POC) را طراحی کردند و آن را در کنفرانس هفته گذشته کلاه سیاه اروپا در آمستردام نشان دادند.

این جفت ارز با استفاده از یک ابزار سفارشی توسعه یافته توسط Albertini ، با نام AngeCryption ، قادر به رمزگذاری بسته برنامه کاربردی اندرویدی بار (Android) (APK) و ساخت فایل مانند آن بودیم..

آنها سپس یک APK دوم ایجاد کردند که تصویر “گرفتار تله” را به همراه داشت. این APK دوم نه تنها پیچیده شده و اولین را پنهان می کند ، بلکه قابلیت رمزگشایی و سپس نصب آن را نیز داشت.

محققان در مقاله ای با گفتگوی بلک بلک نوشتند که “امکان رمزگذاری هر ورودی به یک تصویر انتخاب شده با JPG یا PNG وجود دارد … کد قادر است این تصویر غیرقابل مشکوک را به APK دیگری تبدیل کند و دارای بار مالی مخرب باشد.” در مورد اینکه “تجزیه و تحلیل استاتیک ، مانند مونتاژ کردن ، بسته بندی APK هیچ چیز خاصی در مورد آن رمز عبور نشان نمی دهد (جدا از این ، اگر بسته بندی رمزگذاری را خنثی کنیم).”

با فریب دادن سیستم بسته بندی برنامه اندرویدی به این روش ، این اوصاف قادر به ایجاد بسته ای بود که احتمالاً از شناسایی جلوگیری می کند و از Bouncer Google Play گذشته و همچنین برنامه های امنیتی گذشته می شود.

آزمایش Apvrille و Albertinis نشان داد که سیستم اندرویدی در هنگام تلاش برای تهیه پرونده APP مخرب درخواست مجوز ارائه داده است اما حتی با استفاده از DexClassLoader می توان جلوی این کار را گرفت..

این جفت ارز همچنین نشان داد که چگونه می توان حمله را اجرا کرد – برنامه مورد نظر فقط درصورتی بارگیری می شود که برخی از داده ها پس از پایان نشانگر فشرده سازی فهرستهای مرکزی (EOCD) قابل پیوست باشند – برای دستیابی به این هدف ، آنها پس از داده های اضافی EOCD دیگری اضافه کردند..

به نظر می رسد این حمله با جدیدترین نسخه سیستم عامل اندروید (4.2.2) کار می کند ، اما افشای مسئول این زوج به این معنی است که تیم امنیتی اندروید از تاریخ 27 ماه مه از این موضوع آگاه بوده اند ، و این امکان را برای آنها فراهم می کند تا تصحیحی را تهیه کنند. در 6 ژوئن راه حل Google از پیوست کردن داده ها بعد از EOCD جلوگیری می کند ، اما در مورد اینکه آیا آن را بعد از اولین بار بررسی می کند ، شک دارید. بنابراین تیم امنیتی اندرویدی همچنان به بررسی مسئله می پردازد و اصلاحات دیگری نیز ممکن است دنبال شود.

به گفته این ، اکوسیستم اندرویدی معمولاً سریعاً هنگام انتشار به روزرسانی های امنیتی سریعترین سرعت نیست و بسیاری از کاربران در نصب آنها آهسته عمل می کنند یا این کار را انجام نمی دهند ، به این معنی که ممکن است خیلی از اوقات در معرض این نوع حمله قرار بگیرند..

در همین حال ، محققان هشدار می دهند که هیچ راه واقعی برای تشخیص کارهایی که payload APK انجام می دهد وجود ندارد ، از رمزگشایی واقعی پرونده تصویر. توصیه آنها به مهندسین امنیتی این است که مراقب برنامه هایی که منابع یا دارایی ها را رمزگشایی می کنند ، باشند ، بیاد داشته باشند و به یاد داشته باشید که POC آنها توسط یک مهاجم دچار مشکل می شود..

آنها همچنین پیشنهاد می کنند که برنامه ها را در یک ماسهبازی اجرا کنید تا زمانی که می توان رفتارهای مخرب یا غیرمنتظره ای را بررسی کرد که هنگام اجرا مشهود شود حتی اگر بار واقعی نیز قابل پنهان باشد.

همچنین ، آنها برای جلوگیری از رمزگشایی تصاویر در یک APK معتبر ، محدودیتهای قوی تری به APK ها پیشنهاد می کنند.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map