El ataque puede ser usado para distribuir malware a través de aplicaciones que parecen inofensivas, dijeron los investigadores.

Una nueva técnica, que permite a los atacantes ocultar aplicaciones maliciosas cifradas para Android dentro de imágenes, puede ser usada para evadir la detección de los antivirus y, posiblemente, al mismo escáner de la tienda Google Play.

El ataque fue desarrolado por Axelle Apvrille, un investigador de Fortinet, con las técnicas de ingeniería inversa de Ange Albertini, quienes presentaron su prueba de concepto en la conferencia de seguridad Black Hat Europe en Amsterdam el jueves pasado.

El ataque está basado en una técnica planeada por Albertini llamada AngeCryption que permite controlar tanto la entrada como la salida de un archivo cifrado empleando Advanced Encryption Standard (AES). Al tomar ventaja de las propiedades de algunos formatos de archivos, les es posible permanecer válidos a pesar de contener datos basura.

AngeCryption, implementado como un script de Python disponible para descargar en Google Code, permite al usuario seleccionar un archivo de entrada y uno de salida, además hace las modificaciones necesarias, así que cuando el archivo de entrada es cifrado con una llave específica empleando AES en una cadena de bloques de cifrado (CBC), se genera el archivo de salida deseado.

Apvrille y Albertini tomaron la idea y la aplicaron a archivos APK (Android application package). Generaron una prueba de concepto envolviéndolo en una aplicación que simplemente muestra una imagen en formato png del personaje Anakin Skywalker de Star Wars. Sin embargo, la aplicación puede descifrar la imagen con una llave en particular para poder generar un segundo archivo APK que puede ser instalado.

En la demostración de los investigadores, el APK oculto dentro de la imagen fue diseñado para mostrar la imagen de Darth Vader, pero un atacante real puede usar una aplicación maliciosa para robar mensajes de texto, fotos, contactos u otros datos.

Durante la demostración, Android desplegó la solicitud de permiso cuando la aplicación intentó instalar el archivo APK descifrado, pero esto puede evitarse empleando el método llamado DexClassLoader, así que el usuario no vería nada, dijo Apvrille. La imagen nisiquiera tendría que ser incluida en la aplicación que envuelve y puede ser descargada desde un servidor remoto después de la instalación, dijo.

Para que el ataque funcione, algunos datos deben ser concatenados al final de la aplicación original, pero el formato APK, derivado de ZIP, no permite concatenar datos después de la marca llamada End of Central Directory (EOCD), la cual señala el final del archivo.

Sin embargo, los investigadores encontraron que al añadir una segunda marca EOCD después de concatenar datos se engaña a Android para aceptar el archivo como válido. De acuerdo con Apvrille, esto no debería de suceder y es el resultado de un error en el parser APK de Android.

El ataque funciona en Android 4.4.2, la última versión del sistema operativo, pero el equipo de seguridad de Android ha sido notificado y está desarrollando la corrección, dijo Apvrille.