Desítky her pro Android v Google Play ještě před týdnem skrývaly trojského koně

Útočníci se nejspíše inspirovali postupem, který výzkumníci před více než rokem demonstrovali na bezpečnostní konferenci.

Desítky her pro Android v Google Play ještě před týdnem skrývaly trojského koně


Více než 60 her pro operační systém Android nabízených v obchodu Google Play obsahovalo trojského koně, který umožňoval stáhnout a spustit škodlivý kód skrytý v grafických souborech.

Infikované aplikace odhalili výzkumníci ruské antivirové společnosti Doctor Web, kteří na ně minulý týden upozornili Google. Novou hrozbu nazvali Android.Xiny.19.origin.

Ještě před několika lety byly infikované aplikace v Google Play běžné, než Google zavedl přísné kontroly včetně automatického skeneru zvaného Bouncer, který k detekci využívá emulaci a behaviorální analýzu.

Obejít Bouncer není nemožné, ale dostatečně složité, aby to odradilo většinu tvůrců malwaru. Většina trojských koní pro Android je distribuováno prostřednictvím neoficiálních repozitářů aplikací a cílí na uživatele, kteří na svém zařízení povolí instalaci z „neznámých zdrojů“.

Autoři Android.Xiny.19.origin patří mezi ty, komu se Bouncer podařilo překonat. Jejich hry jsou plně funkční, avšak z napadených zařízení na pozadí shromažďují identifikační údaje, např. kódy IMEI a IMSI, MAC adresu, název mobilního operátora, zemi a jazykové nastavení, verzi operačního systému a další.

Útočníci také mohou nechávat aplikaci zobrazovat reklamy, v případě přístupu k rootu zařízení skrytě instalovat a odinstalovávat aplikace a spouštět instalační balíčky APK ukryté v grafických souborech.

Nejpozoruhodnější je posledně zmiňovaná funkce, která využívá techniku zvanou steganografie, která znesnadňuje odhalení škodlivého kódu. Informace jsou skryté v jinak neškodném typu souboru, v tomto případě obrázku, který navenek vypadá a chová se jako nepoškozený.

Po stažení upraveného obrázku ze serveru trojský kůň v zařízení extrahuje APK pomocí speciálního algoritmu a nahraje škodlivý kód do paměti zařízení pomocí systémové funkce DexClassLoader Android.

Útok je velmi podobný konceptu, který výzkumníci Axelle Apvrille a Ange Albertini předvedli na bezpečnostní konferenci Black Hat Europe v říjnu 2014.

Výzkumníci tehdy ukázali, že lze ukrýt APK do grafického souboru, který tím není nijak narušen a lze běžně otevřít. Pomocí dešifrovacího algoritmu však bylo možné z něj APK opět získat. Pomocí DexClassLoader lze dokonce APK dynamicky nahrát do paměti, stejně jako to dělá Android.Xiny.19.origin.

Zdroj: IDG News Service

 


Úvodní foto: (c) sayilan - Fotolia.com




Komentáře