Phần mềm độc hại Android phát tán như tập tin PDF

Sử dụng một công cụ tùy chỉnh, đầu vào giống một hình ảnh PNG/JPG hoặc một tài liệu Adobe, có thể được giải mã thành một phần mềm độc hại, tránh được khỏi các giải pháp quét phần mềm độc hại trên Android.

Phần mềm độc hại Android có thể được phát tán như một hình ảnh hay tập tin PDF

Được gọi là AngeCryption và tạo ra bởi Albertini, phương pháp chứng minh rằng bất kỳ đầu vào nào có thể được mã hóa thành một đầu ra hợp lệ (các định dạng được hỗ trợ là PNG, JPG, PDF, và FLV) và trong không khác gì một nguồn cần thiết trong khi cài đặt gói phần mềm ứng dụng Android (apk).

AngeCryption đã được tạo ra như là một script Python và có thể được tải về từ Google Code.

Anakin Skywalker trở thành Darth Vader

Một kịch bản tấn công sẽ có chứa một phần mềm độc hại ảnh hưởng đến các thiết bị di động dưới một hình ảnh hợp lệ. Việc này có thể thực hiện trên tất cả các hệ điều hành Android.

Kỹ thuật này được đưa ra bởi Axelle Apvrille, nhà phân tích và nghiên cứu cao cấp chống virus tại Fortinet và 1 kỹ sư chuyên về Reverse Engineering là Ange Albertini và được trình bày tại hội nghị bảo mật BlackHat châu Âu tuần trước.

Trong phần thuyết minh, các nhà nghiên cứu mã hóa một hình ảnh của một nhân vật sử dụng thuật toán AES trong phương thức mã hóa khối chuỗi (CBC); 3DES cũng có thể được sử dụng và đạt được thành công tương tự.

Bằng cách thao tác đầu ra của byte mã hóa với AngeCryption, một hình ảnh khác được hai nhà nghiên cứu chọn sẽ trở nên sẵn sàng khi giải mã, có thể thay thế bằng bất kỳ tập tin nào khác (APK độc hại chẳng hạn).

Một quy trình xâm nhập đơn giản đã hoàn tất các cuộc tấn công

Hành động đơn giản khi đưa các đoạn mã độc hại nhúng và tập tin đầu ra được mã hóa là không đủ để cuộc tấn công hoạt động. Một vài dữ liệu cần phải được nối thêm vào phần cuối của gói ban đầu. Apk về cơ bản là 1 tập tin lưu trữ .ZIP và nó không cho phép bất kỳ dữ liệu nào được thêm vào ngoài EOCD. Trong trường hợp này, cuộc tấn công sẽ không hoạt động; Tuy nhiên, bằng cách thêm một dấu hiệu thứ hai các nhà nghiên cứu đã hoàn thành việc khai thác vấn đề này.

Vào ngày 27 tháng 5, một bản POC trình bày kiểu tấn công này đã được gửi đến đội ngũ an ninh Android, họ sẽ phát hành bản cập nhật trong tương lai.

Softpedia

Bình luận

Từ khóa: