Эксперты Trend Micro сообщают об уязвимости, затрагивающей версии Android с 5.1.1 по 8.0 (в настоящее время установлены на 74% всех Android-устройств), позволяющей злоумышленникам изменять установленные приложения, не затрагивая их подпись. Эта брешь может позволить получить доступ к устройству.

Как утверждают специалисты Trend Micro, впервые этот недостаток, получивший идентификатор CVE-2017-13156, был обнаружен в июле. Исследователи назвали его Janus. На данный момент найдено лишь одно злонамеренное приложение, эксплуатирующее эту уязвимость, утверждает Trend Micro.

Установочные файлы приложений Android (.APK-файлы) на деле являются ZIP-архивами, которые имеют несколько характеристик, позволяющих совершить эту атаку. Структура файла состоит из трех частей, как показано на рисунке ниже:

Злоумышленник может поместить вредоносный файл DEX в начало файла APK, а затронутая этой уязвимостью версия Android по-прежнему будет считать его легитимным файлом APK и попытается выполнить его.

Android Runtime (ART) отвечает за загрузку кода DEX из файла APK. Из-за того, что DEX-код помещен в начало файла, он распознается системой как DEX-файл. Следующий за ним код (исходное содержимое APK) воспринимаются как мусорное содержимое, которое игнорируется.

Вредоносные программы могут использовать эту брешь двумя способами:

• Для скрытия вредоносной нагрузки. Вредоносы могут маскироваться под чистый DEX-файл, в то время как пейлоад хранится в файле APK.
• Для обновления уже установленного приложения без ведома его разработчика. Злоумышленник может использовать дыру в безопасности для доступа к защищенным данным исходного приложения, например, учетным данным пользователя и личной информации.

Эксперты утверждают, что уязвимость была исправлена в декабрьском выпуске обновлений для Android.