Neuer Angriff versteckt verborgene Android-Malware in Bildern

A new Eine Technik, die es Angreifern ermöglicht, verschlüsselte bösartige Android-Anwendungen in Bildern zu verstecken, könnte dazu dienen, die Erkennung durch Antiviren-Produkte und möglicherweise den eigenen Malware-Scanner von Google Play zu umgehen.

Der Angriff wurde von Axelle Apvrille, einer Fortinet-Forscherin, und Reverse-Engineer Ange Albertini entwickelt , die ihre Machbarkeitsstudie am Donnerstag auf der Sicherheitskonferenz Black Hat Europe in Amsterdam vorstellten.

Sie basiert auf einer von Albertini entwickelten Methode namens AngeCryption, mit der die Eingabe und Ausgabe einer Dateiverschlüsselung mit dem Advanced gesteuert werden kann Encryption Standard (AES), indem die Eigenschaften einiger Dateiformate genutzt werden, die es ermöglichen, dass Dateien trotz angehängter Junk-Daten gültig bleiben.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

AngeCryption, das als Python-Skript zum Download auf Google Code implementiert wurde, ermöglicht dem Benutzer die Auswahl einer Eingabe- und einer Ausgabedatei und nimmt die erforderlichen Änderungen vor Wenn die Eingabedatei mit einem bestimmten Schlüssel mit AES im Cipher-Block-Chaining-Modus (CBC) verschlüsselt wird, erzeugt sie die gewünschte Ausgabedatei.

Apvrille und Albertini haben die Idee weiter entwickelt und auf APK angewendet (Android-Anwendungspaket) Dateien. Sie erstellten eine Proof-of-Concept-Wrapping-Anwendung, die einfach ein PNG-Bild von Star Wars Charakter Anakin Skywalker anzeigt. Die App kann das Bild aber auch mit einem bestimmten Schlüssel entschlüsseln, um eine zweite APK-Datei zu erstellen, die dann installiert werden kann.

In der Vorführung der Forscher wurde die im Bild verborgene APK für ein Bild von Darth entworfen Vader, aber ein echter Angreifer könnte stattdessen eine bösartige Anwendung verwenden, um Textnachrichten, Fotos, Kontakte oder andere Daten zu stehlen.

Während der Demonstration zeigte Android eine Erlaubnisanforderung an, als die Wrapperanwendung versuchte, die entschlüsselte APK-Datei zu installieren Dies kann mit einer Methode namens DexClassLoader umgangen werden, so dass der Benutzer nichts sieht, sagte Apvrille. Das Bild müsste nicht einmal in der Wrapper - Anwendung enthalten sein und könnte nach der Installation von einem Remote - Server heruntergeladen werden.

Damit der Angriff funktioniert, müssen einige Daten am Ende der Datei angehängt werden Original-Anwendung, aber das APK-Format, das von ZIP abgeleitet ist, erlaubt keine angehängten Daten nach einem Marker namens Ende des zentralen Verzeichnisses (EOCD), die das Ende der Datei signalisiert.

Die Forscher fanden jedoch, dass das Hinzufügen ein zweites EOCD nach den angehängten Daten trickst Android dazu, die Datei als gültig zu akzeptieren. Laut Apvrille sollte dies nicht passieren und ist das Ergebnis eines Fehlers in Androids APK-Parser.

Der Angriff funktioniert unter Android 4.4.2, der neuesten Version des Betriebssystems, aber das Android-Sicherheitsteam wurde benachrichtigt und entwickelt sich gerade "

" Aufgrund der Fragmentierung des Android-Ökosystems, insbesondere bei Firmwareupdates, werden viele Geräte wahrscheinlich lange Zeit anfällig für diesen Angriff bleiben, sodass Android-Malware-Autoren genügend Zeit haben, um davon zu profitieren .

Die Verbreitung von Android-Sicherheitsupdates ist besser als vor drei Jahren, aber diese Schwachstelle wird wahrscheinlich noch ein oder zwei Jahre lang auf vielen Telefonen aktiv bleiben, sagte Apvrille.

Die Forscher haben ihre Beweise veröffentlicht. of-concept Code auf Github im Anschluss an ihre Präsentation Donnerstag und wird auch ein Papier veröffentlichen.