Více než 60 her pro operační systém Android nabízených v obchodu Google Play obsahovalo trojského koně, který umožňoval stáhnout a spustit škodlivý kód skrytý v grafických souborech.
Infikované aplikace odhalili výzkumníci ruské antivirové společnosti Doctor Web, kteří na ně minulý týden upozornili Google. Novou hrozbu nazvali Android.Xiny.19.origin.
Ještě před několika lety byly infikované aplikace v Google Play běžné, než Google zavedl přísné kontroly včetně automatického skeneru zvaného Bouncer, který k detekci využívá emulaci a behaviorální analýzu.
Obejít Bouncer není nemožné, ale dostatečně složité, aby to odradilo většinu tvůrců malwaru. Většina trojských koní pro Android je distribuováno prostřednictvím neoficiálních repozitářů aplikací a cílí na uživatele, kteří na svém zařízení povolí instalaci z „neznámých zdrojů“.
Autoři Android.Xiny.19.origin patří mezi ty, komu se Bouncer podařilo překonat. Jejich hry jsou plně funkční, avšak z napadených zařízení na pozadí shromažďují identifikační údaje, např. kódy IMEI a IMSI, MAC adresu, název mobilního operátora, zemi a jazykové nastavení, verzi operačního systému a další.
Útočníci také mohou nechávat aplikaci zobrazovat reklamy, v případě přístupu k rootu zařízení skrytě instalovat a odinstalovávat aplikace a spouštět instalační balíčky APK ukryté v grafických souborech.
Nejpozoruhodnější je posledně zmiňovaná funkce, která využívá techniku zvanou steganografie, která znesnadňuje odhalení škodlivého kódu. Informace jsou skryté v jinak neškodném typu souboru, v tomto případě obrázku, který navenek vypadá a chová se jako nepoškozený.
Po stažení upraveného obrázku ze serveru trojský kůň v zařízení extrahuje APK pomocí speciálního algoritmu a nahraje škodlivý kód do paměti zařízení pomocí systémové funkce DexClassLoader Android.
Útok je velmi podobný konceptu, který výzkumníci Axelle Apvrille a Ange Albertini předvedli na bezpečnostní konferenci Black Hat Europe v říjnu 2014.
Výzkumníci tehdy ukázali, že lze ukrýt APK do grafického souboru, který tím není nijak narušen a lze běžně otevřít. Pomocí dešifrovacího algoritmu však bylo možné z něj APK opět získat. Pomocí DexClassLoader lze dokonce APK dynamicky nahrát do paměti, stejně jako to dělá Android.Xiny.19.origin.
Zdroj: IDG News Service
PŘEDPLATNÉ
ČLÁNKY DO MAILU