Obchádza Google Bouncer, anti-malware systém Android

V reakcii na čoraz väčší cieľ, ktorý jeho operačný systém Android predstavuje hackerom, spustil Google vo februári 2012 anti-malware systém „Bouncer“. Bouncer bol navrhnutý tak, aby odfiltroval škodlivé aplikácie skôr, ako sa vôbec objavia na Android Market, pretože vtedy sa to volalo. Názov sa zmenil na Google Play, ale vyhadzovač sa stále choval a ticho nás chránil pred červami a trójskymi koňmi.

Keď spoločnosť Google odhalila Bouncera, nehovorila o detailoch, ale teraz dvaja výskumníci v oblasti bezpečnosti z Duo Security, Charlie Miller a Jon Oberheide, našli spôsob, ako vzdialene získať prístup k Bounceru a preskúmať ho zvnútra. To, čo našli, ukazuje, že šikovní autori škodlivého softvéru môžu stále vyhodiť váš telefón do koša.

Čo robí vyhadzovač

Celý rok 2011 bol Google sužovaný prípadmi Malvér pre Android s využitím výhod v kóde OS. Čo bolo horšie, niekedy sa tieto škodlivé aplikácie nakoniec dostali do Android Marketu. Boli aplikácie, ktoré kradli kontakty, sledovali vaše stlačenia klávesov, a dokonca aj také, ktoré hromadili obrovské účty textovými správami s prémiovými číslami. Tento nechutný kód sa zvyčajne pohyboval po warezových fórach, jeho vzhľad v obchode Play však nebol ničím neobvyklým.

Google vždy umožňoval vývojárom nahrávať svoje aplikácie, aby boli okamžite k dispozícii. Ale keďže Android priťahoval viac pozornosti nesprávneho druhu ľudí, bolo zrejmé, že je treba niečo urobiť.

Výsledkom bol vyhadzovač, ale spoločnosť Google sa najskôr rozhodla hovoriť o nejobecnejších pojmoch. Program Bouncer bol navrhnutý s cieľom pridať do systému Android novú vrstvu zabezpečenia bez toho, aby vývojári museli prechádzať zdĺhavým schvaľovacím procesom, ktorý vedú šikovní ľudia. Google potrebuje iba efektivitu chladu automatizovaného stroja.

Februárové oznámenie tvrdilo, že Bouncer niekoľko mesiacov ticho bežal na pozadí, čo malo za následok 40% pokles potenciálne škodlivých aplikácií na trhu. Po dokončení skenovania by sa odovzdávajúce aplikácie zverejnili bežným spôsobom. Vývojári museli trpieť len s pár minútovým oneskorením. V tom čase to vyzeralo takmer ako čarovná guľka.

Ako sa teraz dozvedáme, malware, ktorý Bouncer ničil, mohol byť ovocím.

Ako funguje Bouncer zvnútra

Miller a Oberheide už nejaký čas skúmajú Market / Play Store v snahe dozvedieť sa viac o Bounceri. Vedcom sa to nakoniec podarilo nakuknite do vraha spamu so špeciálne kódovanou aplikáciou pre Android navrhnutou tak, aby umožňovala vzdialený prístup pre Duo Security. Bouncer je virtuálny telefón emulovaný na serveri Google. Keď program Bouncer načítal trójsku aplikáciu, Miller a Oberheide dokázali prostredníctvom príkazového riadku podávať príkazy shellu Bouncer. Takto boli odhalené Bouncerove tajomstvá.

V systéme je spustený typ virtualizačného softvéru s názvom QEMU, čo je ľahko zistiteľný príznak, ktorý môže aplikácii povedať, že je spustená v nástroji Bouncer. Účet použitý na registráciu virtuálneho telefónu je tiež identický a poskytuje druhý jednoduchý spôsob snímania odtlačkov prstov. Google nastavil každú inštanciu svojho virtuálneho telefónu pomocou honeypotov, aby nalákal malware na to, čo robí najlepšie: kradnúť veci.

Na telefóne Bouncer sú dva obrázky; jedna z Lady Gaga a druhá z mačky. Ak sa zistí, že aplikácia nahráva tieto obrázky na vzdialený server, program Bouncer ju rýchlo vyhodí z brány. Podobne, ak sa aplikácia pokúsi získať kontaktné informácie z telefónu, ktoré zahŕňajú jeden záznam pre jednu adresu Michelle.k.levin@gmail.com, dôjde tiež k zavedeniu aplikácie. Bouncer tiež sleduje službu SMS v prípade, že sa aplikácia pokúsi odoslať neautorizované textové správy na čísla s prémiovou sadzbou.

Nemožno poprieť, že ide o dômyselný spôsob, ako vyhľadávať nepríjemné hrozby, ale ako Duo Security zdôrazňuje, útočníci by mohli Bouncera ľahko poraziť pri jeho vlastnej hre.

Ako sa dá Bouncer zlomiť

Duo Security sa zo svojho malého vpádu do Bouncera dozvedel jednu dôležitú lekciu: funguje iba vtedy, keď nikto nepozná jeho vnútorné fungovanie. Ako som už naznačil, Miller a Oberheide prišli na niekoľko spôsobov, ako odtlačkom prsta vytvoriť prostredie Bouncera. To znamená, že autor škodlivého softvéru môže vytvoriť modul, ktorý pozastaví škodlivé správanie na určitý čas, keď sa zistí program Bouncer.

Bez toho, aby sme zašli tak ďaleko, by sa autori škodlivého softvéru mohli vyhnúť detekcii tým, že ju budú hrať v pohode. Bouncer nespúšťa aplikácie donekonečna; v skutočnosti bude iba prehľadávať každú nahranú aplikáciu asi 5 minút, kým ju vyhlási za bezpečnú. Zloduchom stačí, aby svoje zámery na krátky čas skryli, aby sa vyhli skeneru, aký existuje teraz.

Tienistí ľudia, ktorí chcú zneužiť váš telefón, môžu jednoducho načítať neškodnú aplikáciu, ktorá okolo Bouncera letí vynikajúco. Potom je možné v priebehu času pridávať komponenty prostredníctvom aktualizácií Obchodu Play, ktoré umožňujú skryté škodlivé funkcie. Je zrejmé, že ide o dlhodobý zámer, ale pre správne vyplatenie by to mohlo stáť za to.

Spoločnosť Duo Security tvrdí, že bola v kontakte so spoločnosťou Google s cieľom opraviť chyby zabezpečenia. Niektoré veci môžu byť opraviteľné ľahko, napríklad dlhodobejšie skenovanie aplikácií alebo zmena informácií o predvolenom účte. Ale pre ostatných, ako napríklad ľahko detekovateľné virtualizované prostredie, bude ťažšie odolávať proti útoku. Najlepším riešením by bolo spustiť aplikácie na skutočných zariadeniach, ale logistika by to mohla znemožniť.

Neskôr v tomto týždni ponúknu spoločnosti Miller a Oberheide kompletné ukážky hacku na serveri SummerCon. Do tej doby Google pravdepodobne tvrdo pracuje na odstránení dier v Bounceri, aby sa chránil pred novou vlnou malvéru.