پنهان شدن برنامه های اندرویدی رمزگذاری شده مخرب در تصاویر

این موضوع می تواند برای فرار از تشخیص توسط محصولات آنتی ویروس و اسکنر بدافزار Google Play مورد استفاده قرار گیرد.

به گزارش ماهر این حمله توسط Axelle Apvrille، محققی از Fortinet طراحی شده است و Albertini روز پنج شنبه در کنفرانس کلاه سیاه اروپا که در آمستردام برگزار شده بود اثبات ادعای خود را نشان داد.

روشی که توسط Albertini نشان داده شد، AngeCryption نام دارد که می تواند عملیات رمزگذاری فایل های ورودی و خروجی که از AES استفاده می کنند را با بهره گیری از ویژگی های برخی فرمت های فایل ها که به فایل ها اجازه می دهد علیرغم داشتن داده های بدردنخور معتبر باقی بمانند کنترل کند.

AngeCryption به کاربر اجازه می دهد تا یک فایل ورودی و یک فایل خروجی را انتخاب نماید و تغییرات لازم را اعمال نماید در نتیجه هنگامی که فایل ورودی با یک کلید خصوصی با استفاده از AES در حالت CBC رمزگذاری می شود، این روش فایل خروجی مورد نظر را ایجاد می کند.

محققان امنیتی ایده خود را فراتر بردند و این روش را بر روی فایل هایAPK  اعمال کردند. آن ها برای نشان دادن ادعای خود برنامه کاربردی ایجاد کردند که به راحتی می تواند یک تصویر PNG از بازیگر جنگ ستارگان با نام Anakin Skywalker را نشان دهد. با این حال، این برنامه می تواند به منظور ساختن فایل دوم APK که قابل نصب است، تصویر را با کلید خصوصی رمزگشایی کند.

در نمایش محققان، APK مخفی شده در تصویر برای نمایش تصویری از Darth Vader طراحی شده است اما مهاجم واقعی می تواند به جای آن از یک برنامه مخرب برای سرقت پیام های متنی، عکس ها، تماس ها یا سایر داده ها استفاده نماید.

Apvrille  می گوید: "این حملات بر روی اندروید ۴.۴.۲، آخرین نسخه از سیستم عامل کار می کند. این مساله به گروه امنیتی اندروید اطلاع داده شده است و آن ها در حال بررسی برای انتشار یک برطرف کننده می باشند. "

وی در ادامه افزود این آسیب پذیری ممکن است برای یک یا دو سال بر روی بسیاری از گوشی ها باقی بماند.