Nova técnica oculta malware Android em imagens

O ataque pode ser usado para distribuir malware através de aplicações que parecem inofensivas, dizem investigadores.

android_fragmentUma nova técnica permite esconder aplicações para Android, nocivas e cifradas, dentro de imagens. Pode ser usada para evitar a detecção por antivírus e talvez, até pelo rastreio de malware da Google Play.

O dispositivos de ataque foi desenvolvido por Axelle Apvrille, investigador da da Fortinet, e sujeito a engenharia reversa por Ange Albertini, o qual apresentou a sua prova de conceito na conferência de segurança Black Hat Europa, em Amsterdão, na última quinta-feira. Baseia-se numa técnica concebida por Albertini, a AngeCryption,que permite controlar o material inícial de uma operação de cifragem de ficheiros, como o produto usando a norma Advanced Encryption Standard (AES).

Aproveita, ainda, as propriedades de alguns formatos de ficheiros para manter os ficheiros como válidos, apesar de lhes acrescentar “lixo” ou dados desnecessários. A AngeCryption, implantada como um “script” Python disponível para download no Google Code, permite ao utilizador escolher um ficheiro inicial e de produto.

O software faz também as modificações necessárias para cifrar o ficheiro com uma chave especificada, usando a AES, num modo de encadeamento de blocos de cifra , “cipher-block chaining” (CBC), que produz o ficheiro de saída desejado. Apvrille e Albertini levaram a ideia mais adiante e aplicando-a a ficheiros de pacotes para aplicações Android (APK).

Criaram uma aplicação encapsuladora que simplesmente exibe uma imagem PNG, do personagem do filme “Star Wars”, Anakin Skywalker. A aplicação também pode decifrar a imagem com uma chave especial, a para produzir um segundo ficheiro, que poderá instalar.


Artigo anterior
Artigo seguinte


Deixe um comentário

O seu email não será publicado