Developpez.com

Le Club des Développeurs et IT Pro

Deux chercheurs mettent au point une méthode qui dissimule des malwares derrière des images

Android serait affecté

Le 2014-10-20 17:21:54, par Cedric Chevalier, Expert éminent sénior
Une nouvelle menace de sécurité plane au-dessus de la plateforme Android. Deux chercheurs de Fortinet, Axelle Apvrille et Ange Albertini, ont mis au point une nouvelle méthode pour dissimuler des malwares dans des images.

Tout a commencé avec les travaux d’Ange Albertini. Le chercheur a mis au point le script python Angecryption, qui après chiffrement (avec une méthode de chiffrement par bloc comme AES) d’un fichier source, lui donne l’apparence visuelle et l’aspect d’un document PDF, d'une image PNG ou JPG.

Précisons au passage que, pour que la méthode réussisse, des données additionnelles doivent être ajoutées à la fin du fichier source.

L’utilisation du script a été étendue à la plateforme mobile de Google et présentée publiquement au cours de la conférence Black Hat Europe. Les chercheurs ont chiffré une application Android qui avait l’aspect d’une image au format PNG. L’image en question est celle d’Anakin Skywalker de Star Wars.

Aux yeux de l’utilisateur, c’est juste une image. On est loin de se douter qu’il s’agit en fait d’une application. Exploité correctement, un hacker peut se servir d’Angecryption pour insérer des malwares dans les mobiles des victimes. D’après les deux experts, l’ingénierie inverse d’un tel malware est difficile.

Les chercheurs ont réussi à implémenter un exploit sur Android 4.4.2. L’équipe de sécurité de la plateforme mobile de Google a été alertée par les chercheurs. On ne peut qu’espérer que des correctifs verront rapidement le jour.

Source : SlideShare Black Hat

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
13 commentaires
  • Grabeuh
    Membre éclairé
    Envoyé par Grimly
    Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>
    Le soucis, c'est qu'en général, un malware n'exploite pas qu'une seule faille, mais la combinaison de plusieurs. Si le seul cryptage sous forme d'image n'est pas si dangereux que ça en soi, c'est l'exploitation d'une seconde faille qui elle permettra probablement l'exécution du code.

    L'image, c'est seulement le moyen de faire rentrer le ver dans le fruit incognito.
    le 21/10/2014 à 11:14
  • Grimly
    Membre averti
    Envoyé par Cedric Chevalier
    Qu'en pensez-vous ?
    Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>
    le 21/10/2014 à 11:06
  • gangsoleil
    Modérateur
    En tout cas, je trouve la méthode jolie. Après, pour ce qui est de l'exécution, nous sommes d'accord qu'il faudrait exploiter plusieurs failles, mais c'est souvent ce qui est fait, généralement sans que l'utilisateur s'en rende compte.
    le 21/10/2014 à 15:30
  • ALT
    Membre émérite
    Euuuh !
    Insérer du code ou du texte dans une image, ce n'est pas ce qu'on appelle la stéganographie ?
    Technique connue depuis longtemps... Bref, rien de nouveau.
    le 23/10/2014 à 10:37
  • miky55
    Membre averti
    Envoyé par gangsoleil
    La stéganographie consiste effectivement à "cacher" un message dans une image, mais il ne s'agit pas forcément de cacher un programme exécutable dans une image.
    Il s'agit ni plus ni moins que de la stéganographie. Il n'exploitent aucune faille comme le prétend cette news, en regardant les slides on comprend bien qu'ils rajoutent du code malicieux dans une image de manière à ce que celle-ci soit toujours une image valide et puisse être affiché si on l'ouvre en tant qu'image. Mais ça s’arrête là il n'y a aucun code qui est exécuté si on l'ouvre avec un lecteur d'image classique, il faut absolument passer par leur apk vérolée qui va récupérer le code malicieux de l'image pour l’exécuter.

    Bref ces chercheurs prétendent avoir trouvé une technique quasi indétectable pour placer du code malicieux dans une image, mais le code qui va récupérer le Malware dans l'image, lui est parfaitement détectable...
    le 23/10/2014 à 14:31
  • gangsoleil
    Modérateur
    La stéganographie consiste effectivement à "cacher" un message dans une image, mais il ne s'agit pas forcément de cacher un programme exécutable dans une image.
    le 23/10/2014 à 11:02
  • jumpers
    Membre du Club
    ALT a été plus rapide que moi, ce n'est pas nouveau le fait de planquer des fichiers dans des images, il y a déjà 4/5 je le faisait pour des tests. le coté malware est lui, peut-être nouveau, et encore...
    le 23/10/2014 à 11:12
  • gangsoleil
    Modérateur
    Au risque d'être cassant, lisez la news : le programme en question prend un exe, et le "transforme" pour qu'il soit reconnu comme une image. C'est donc le principe inverse de la stéganographie, qui consiste à prendre une image et à mettre quelque chose dedans sans trop altérer celle-ci.

    Et si vous avez réussi ça il y a 4 ou 5 ans, grand bien vous fasse, mais dépéchez-vous d'écrire à la conf afin que l'antériorité vous revienne.
    le 23/10/2014 à 13:48
  • ALT
    Membre émérite
    Ah ben tout faux, alors : je ne l'avais pas bien compris.
    Ouillle !
    le 23/10/2014 à 14:08
  • lulz17
    Membre du Club
    Si ce que dit Miky55 est vrai, la véracité de ce type de méthode est à revoir ...

    Enfin, la dissimulation à l'air de bien fonctionner mais l’exécution ... Faire une attaque en espérant que les victimes est à la fois un image vérolée et l'apk ... c'est pas gagner! C'est deux fois plus compliqué à mettre en œuvre ...
    le 23/10/2014 à 16:01
  Poster une réponse