Descoberta por pesquisadores, falha foi apresentada durante evento Black Hat na Europa. Google diz j\u00e1 trabalhar em solu\u00e7\u00e3o para problema.<\/p>\n
Uma nova t\u00e9cnica que permite aos hackers esconderem aplicativos Android maliciosos criptografados dentro de imagens pode ser usada para evitar a detec\u00e7\u00e3o por antiv\u00edrus e possivelmente pelo pr\u00f3prio scanner de malware da loja Google Play.<\/p>\n
O ataque foi desenvolvido por Axelle Apvrille, uma pesquisadora na Fortinet, e pelo engenheiro reverso Ange Albertini, que apresentaram sua prova de conceito durante a confer\u00eancia de seguran\u00e7a Black Hat Europe, na quinta-feira, 16\/10, em Amsterdam.<\/p>\n
Segundo os criadores, o ataque \u00e9 baseado em uma t\u00e9cnica inventada por Albertini chamada de AngeCryption que permite controlar tanto a entrada quanto a sa\u00edda de uma opera\u00e7\u00e3o de criptografia usando o padr\u00e3o Advanced Encryption Standard (AES) ao aproveitar as propriedades de alguns formatos de arquivos que permitem que os documentos continuem v\u00e1lidos mesmo tendo dados imprest\u00e1veis ligados a eles.<\/p>\n
A AngeCryption, que foi implementada como script Python dispon\u00edvel para download no Google Code, permite ao usu\u00e1rio escolher um arquivo de entrada e sa\u00edda e faz as mudan\u00e7as necess\u00e1rias para que quando o arquivo de entrada for criptografado com uma chave espec\u00edfica usando AED no modo CBC (cipher-block chaining), ele produza o arquivo de sa\u00edda desejado.<\/p>\n
Apvrille e Albertini levaram a ideia adiante e aplicaram-na em arquivos APK (Android application package). Eles criaram um aplicativo envolt\u00f3rio de prova de conceito que simplesmente exibe uma imagem PNG do personagem Anakin Skywalker, da franquia Star Wars. No entanto, o app tamb\u00e9m pode criptografar a imagem com uma chave particular para produzir um segundo arquivo APK que possa ent\u00e3o instalar.<\/p>\n
Na demonstra\u00e7\u00e3o dos pesquisadores, o APK escondido dentro da imagem foi designado para exibir uma imagem do Darth Vader, mas um criminoso de verdade poderia usar um aplicativo malicioso em vez disso, para roubar mensagens de texto, fotos, contatos, e outros dados.<\/p>\n
Durante a demonstra\u00e7\u00e3o, o Android exibiu um pedido de permiss\u00e3o quando o aplicativo envolt\u00f3rio tentou instalar o arquivo APK criptografado, mas esse pedido pode ser burlado usando um m\u00e9todo chamado DexClassLoader para que o usu\u00e1rio n\u00e3o precise ver nada, afirma Apvrille. A imagem n\u00e3o precisaria nem ser inclu\u00edda no aplicativo envolt\u00f3rio e poderia ser baixada a partir de um servidor remoto depois da instala\u00e7\u00e3o.<\/p>\n
Para o ataque funcionar, alguns dados precisam ser anexados ao final do aplicativo original, mas o formato APK, que \u00e9 derivado do ZIP, n\u00e3o permite dados anexos depois de um marcador chamado End of Central Directory (EOCD), que sinaliza o fim do arquivo.<\/p>\n
No entanto, os pesquisadores descobriram que adicionar um segundo EOCD depois dos dados anexos engana o Android a aceitar o arquivo como v\u00e1lido. Segundo Apvrille, isso n\u00e3o deveria acontecer e \u00e9 resultado de um erro do APK do Android.<\/p>\n
O ataque funciona no Android 4.4.2, vers\u00e3o mais recente do sistema do Google, mas a equipe de seguran\u00e7a da plataforma j\u00e1 foi notificada e trabalha em uma solu\u00e7\u00e3o, informa a pesquisadora.<\/p>\n