Investigadores descubren posibilidad de instalar malware en Android a través del uso de imágenes, con una demostración en conferencia Black Hat Europe.
PC World. Una nueva técnica que permite a los atacantes ocultar aplicaciones maliciosas de Android dentro de imágenes podría ser utilizado para evadir la detección de productos de antivirus.
También permitiría evadir el escáner mismo de Google Play. El ataque fue desarrollado por Axelle Apvrille, investigador de Fortinet, y el ingeniero Ange Albertini, quienes presentaron su concepto en la conferencia de seguridad Black Hat Europe, en Amsterdam.
El ataque se basa una técnica concebida por Albertini, conocida como AngeCrypton, que permite controlar la entrada y salida de la operación de codificación de un archivo utilizando AES (Advanced Encryption Standard) al hacer uso de las propiedades de algunos formatos de archivos que permiten a los archivos permanecer válidos a pesar de contar con información no deseada adjunta.
AngeCryption, la cual fue implementada como un script de Python, disponible para su descarga en Google Code, permite al usuario elegir la entrada y salida de archivos y realizar las modificaciones necesarias para que, en el momento en que el archivo de entrada sea codificado con una llave específica utilizando AES en el modo CBC (cipher-block chaining) se produzca el archivo de salida deseado.
Apvrille y Albertini aplicaron esta idea a los archivos APK de Android. Crearon una prueba de concepto donde la aplicación despliega una imagen PNG del personaje Anakin Skywalker de Star Wars. Sin embargo, la aplicación también puede decodificar la imagen con una llave particular para producir un segundo archivo APK que después puede instalar.
En la demostración de los investigadores, el APK oculto dentro de la imagen fue diseñado para desplegar a Darth Vader, aunque un atacante real podría utilizar una aplicación maliciosa para robar mensajes de texto, fotografías, contactos u otra información.
Durante la demostración, Android desplegaba una solicitud de permiso cuando la aplicación intentaba instalar el archivo APK decodificado, pero esto puede ser sobrepasado utilizando un método llamado DexClassLoader para que el usuario no vea nada, de acuerdo con Apvrille. La imagen no tendría que ser incluida en la aplicación y podría ser descargada desde un servidor remoto tras la instalación.
Para que el ataque funcione, parte de la información debe adjuntarse al final de la aplicación original, aunque el formato APK, que se deriva de un archivo ZIP, no permite información adjunta después del directorio EOCD (End of Central Directory), el cual indica el final del archivo.
Sin embargo, los investigadores descubrieron que añadir un segundo EOCD después de la información adjunta hace que Android acepte el archivo como válido. De acuerdo con Apvrille, esto no debería suceder y es el resultado de un error de Android.
El ataque funciona en Android 4.4.2, la versión más reciente del sistema operativo móvil de Google, pero el equipo de seguridad de Android ha sido notificado y se encuentra trabajando en una solución.
Debido a la fragmentación del ecosistema Android, sobre todo en lo que se refiere a las actualizaciones de firmware, muchos dispositivos permanecerán vulnerables al ataque por un largo tiempo, por lo que los autores del malware de Android tienen bastante tiempo para hacer uso de este.
La distribución de las actualizaciones de seguridad en Android ha mejorado en los últimos tres años, pero puede que la vulnerabilidad permanezca activa en muchos teléfonos por uno o dos años, explica Apvrille.
Los investigadores liberaron el código de la prueba de concepto en Github y también publicarán sus resultados.
Elias Pelcastre, PCWorld en Español
—
Sigue a PCWorld en Español en…