Android “llave maestra” vulnerabilidad – más malware encontrado explotar derivación código de verificación

Gracias a Rowland Yu de SophosLabs en Sydney para el trabajo técnico se puso detrás de las escenas de este artículo.

Los investigadores de SophosLabs han encontrado todavía más muestras de malware Android explotan la llamada "llave maestra" vulnerabilidad .

Estas muestras son diferentes de las otras anunciadas hace dos semanas por nuestros camaradas en armas más de Symantec.

Así, a pesar de esta vulnerabilidad no está siendo ampliamente utilizado todavía, sí parece ser algo más que un interés pasajero de los ciberdelincuentes en explotarlo.

Como comentamos el mes pasado , el exploit en realidad no romper las claves criptográficas, a pesar de su nombre.

El agujero "llave maestra"

La forma en que funciona es molesto simple.

Apps Android se entregan en archivos ZIP de formato con la extensión APK (paquete de Android).

Archivos APK subdirctory tienen un nombre especial que contiene una lista de sumas de comprobación de firma digital para el resto de los archivos, antes de la instalación, los archivos de la APK se extraen y se comparan con la lista, llamado MANIFEST.MF.

Si hay una discrepancia, el APK ha fracasado la verificación y se rechazó.

Pero si pones dos archivos con el mismo nombre en el APK, que normalmente no es algo útil que hacer en un archivo ZIP de formato, Android verifica el primero, pero se instala y utiliza el segundo.

Así que es como tener una llave maestra, ya que efectivamente puede "pedir prestado" paquete de un tercero, archivos de programas, datos, nombres de producto, iconos y firma digital …

… Sin embargo, instalar y ejecutar algo que el tercero haya jamás visto, y mucho menos probados o autorizados para el uso.

Un bicho malo – y aunque ha fijado en el código base de código abierto Android, Google simplemente no está diciendo nada acerca de cuánto tiempo está dispuesto a esperar a que sus socios de teléfonos para obtener la solución a los usuarios de Android en todo el mundo.

La "llave maestra" malware

Los chicos Labs encuentran tres archivos que despertó su interés.

Dos de ellos contenían múltiples copias de un archivo llamado AndroidManifest.xml.

Cada aplicación se supone que tiene uno , pero sólo uno de ellos: se declara un montón de información importante, como el nombre de la aplicación, las bibliotecas del sistema que utiliza, y los permisos de seguridad de Android que necesita cuando se ejecuta.

Modificar el archivo sin necesidad de volver a firmar la aplicación debe producir un error, no menos importante, porque significa que la aplicación podría no haber las limitaciones de seguridad reclamadas por su creador.

Afortunadamente, las modificaciones en este caso han invalidado el APK, aparentemente porque los ladrones no hicieron reconstituir su versión cortada del archivo original correctamente.

No parece haber un montón de dudas, sin embargo, que la infección de malware era lo que pretendía, ya que el código ejecutable en los archivos involucrados tiene una serie de funciones, entre ellas:

  • La recopilación de datos, tales como las aplicaciones instaladas, mensajes SMS desde tu bandeja de entrada, y el número IMSI (identidad internacional del abonado móvil) de su tarjeta SIM.
  • Conexión a un servidor en apkshopping.com. (Eso dominio está registrado pero no conduce actualmente en cualquier parte.)
  • Envío de mensajes SMS a una lista de números en China.

El tercer ejemplar de malware ha funcionado.

Comenzó su vida como un paquete add-on llamado Fashion una aplicación de mensajería basada en dibujos llamada Lexin.

Pero equipadas con archivos impostor para AndroidManifest.xml archivo classes.dex (el código de Java compilado real que se ejecuta la aplicación), se convirtió en el malware de los efectos secundarios descritos anteriormente.

El classes.dex original y AndroidManifest.xml archivos hacen que el verificador cifrado ver lo que espera.

El proceso de cifrado durante la verificación no se rompe, es simplemente engañados.

Pero los archivos impostor son los que realmente dan la aplicación instalada su código malévolo y permisos de seguridad.

¿Qué hacer?

Usted puede reducir el riesgo de infección por malware para Android, de este o de cualquier tipo, a través de:

  • Tomando aplicaciones sólo desde la tienda Play Google.
  • Ejecución de software anti-malware en su dispositivo.

También puede ser que desee probar enviando un correo electrónico a su teléfono o tablet proveedor y pedirles, "¿Ustedes tienen una solución para el agujero de la" llave maestra ", y si no es así, ¿me puede decir cuándo esperarlo?"

(Sophos Anti-Virus para Android , que está libre de la Play Store , puede detectar, prevenir y deshacerse de este malware, que se llama Andrés / MstrKey-A.)