Aplikacje

Sprytny atak na smartfony z Androidem. Zabezpieczenia są bezsilne

Okazuje się, że smartfony z Androidem są podatne na zaskakująco prostą sztuczkę, której wykorzystanie może doprowadzić do groźnej infekcji.

Piotr Urbaniak (gtxxor)
PIOTR URBANIAK (GTXXOR) 20 SIE 2023
3
Udostępnij na fb
Udostępnij na X
Sprytny atak na smartfony z Androidem. Zabezpieczenia są bezsilne

Plik APK, czyli na dobrą sprawę archiwum ZIP

Pliki APK, za sprawą których dystrybuowane są aplikacje na Androida, są w istocie rzeczy archiwami ZIP. Wyróżnia je wyłącznie zawartość, w co wliczają się przede wszystkim określony algorytm kompresji i obecność manifestu zawierającego podstawowe definicje, takie jak nazwa tworzonej usługi.

Dalsza część tekstu pod wideo

Problem polega na tym, że, jak donoszą badacze z Zimperium, kilka prostych trików związanych z APK wystarcza, by przemycić do systemu oprogramowanie szkodliwe. Nawet takie, które w teorii powinno zostać wykryte przed oprogramowanie zabezpieczające.

Wybrane okazje dla Ciebie
Napój ACTIVLAB Bulletproof Coffee Drink Kokosowy (150 g)
Napój ACTIVLAB Bulletproof Coffee Drink Kokosowy (150 g)
0 zł
22.99 zł - najniższa cena
Kup teraz 22.99 zł
Łyżworolki NILS EXTREME NA14174 A (rozmiar 35-38)
Łyżworolki NILS EXTREME NA14174 A (rozmiar 35-38)
0 zł
209.99 zł - najniższa cena
Kup teraz 209.99 zł
Przysmak dla psa PEDIGREE Dentastix Daily Oral Care (4 x 110 g)
Przysmak dla psa PEDIGREE Dentastix Daily Oral Care (4 x 110 g)
-4.62 zł
28.64 zł - najniższa cena
Kup teraz 24.02 zł
Advertisement

Magia tkwi w sposobie kompresji

Zauważono, że jeśli domyślnie sugerowany algorytm kompresji Deflate zostanie zmieniony na inny, to złośliwy kod może pozostać niezauważony, a Android 9 i nowsze i tak pozwolą na instalację. Dodatkowo podobne zachowanie wywołuje przekroczenie limitu 256 bitów dla nazwy bądź celowe uszkodzenie manifestu.

Prowadząc badania, znaleziono 3300 przypadków aplikacji, które tego typu sztuczki wykorzystują. Dokładnie 71 z nich określono jako jednoznacznie niebezpieczne. Co ciekawe, nie dotyczy to starszych systemów operacyjnych Google. Dlaczego? Bo te aplikacji skompresowanych w nietypowy sposób instalować nie chcą.

Dobra wiadomość jest taka, że ponoć żadnej z wykrytych, szkodliwych aplikacji nie ma w tej chwili w Sklepie Play. Niemniej nie oznacza to, że nie są one dystrybuowane w inny sposób, na przykład za pośrednictwem sklepów nieoficjalnych albo stron internetowych. 

Lista szkodliwych aplikacji przedstawia się następująco:

  • com.freerdplalobydarkhack.con
  • package.name.suffix
  • com.google.android.inputmethod.latia
  • numeric.contents.desktor
  • health.karl.authority
  • charlie.warning.professional
  • imperial.xi.asia
  • turner.encouraged.matches
  • insta.pro.prints
  • com.ace.measures
  • eyes.acquisition.handed
  • xhtml.peripherals.bs
  • com.google.services
  • google.clood.suffix
  • friends.exec.items
  • com.deveops.frogenet.service
  • com.yc.pfdl
  • publicity.inter.brooklyn
  • consist.prior.struck
  • disaster.considering.illinois
  • splash.app.main
  • labeled.configuring.servies
  • regarded.editors.association
  • com.appser.verapp
  • widely.sharp.rugs
  • handmade.catalogs.urgent
  • com.gem.holidays
  • lemon.continental.prince
  • com.koi.tokenerror
  • cmf0.c3b5bm90zq.patch
  • com.ilogen.com
  • one.enix.smsforward
  • com.app.app
  • per.hourly.wiki
  • com.mobihk.v
  • com.gmail.net
  • broadway.ssl.seasonal
  • Fees.abc.laugh
  • tjb0n81d.j9hqk.eg0ekih
  • 9fji8.pgzckbu7.nuputk
  • bullet.default.til
  • factor.apnic.constitutes
Image
telepolis
Android sklep play malware dla Androida szkodliwe aplikacje
Zródła zdjęć: Shutterstock
Źródła tekstu: Zimperium, oprac. własne