روش جدیدی کشف شده است که به هکرها اجازه می‌دهد یک نرم‌افزار اندروید آلوده رمزنگاری‌شده را به‌طور مخفیانه داخل یک عکس پنهان کنند تا از شناسایی توسط ضد‌ویروس‌ها و احتمالاً اسکنر بدافزار سرویس گوگل‌پلی فرار کنند.


روش جدیدی کشف شده است که به هکرها اجازه می‌دهد یک نرم‌افزار اندروید آلوده رمزنگاری‌شده را به‌طور مخفیانه داخل یک عکس پنهان کنند تا از شناسایی توسط ضد‌ویروس‌ها و احتمالاً اسکنر بدافزار سرویس گوگل‌پلی فرار کنند. اکسل اپریل (Axelle Apvrille)، محقق مؤسسه فورتینت این حمله را طراحی و توسعه داده است.
انجل آلبرتینی در کنفرانس کلاه سیاه‌های اروپا در آمستردام، به صورت مهندسی معکوس این حمله را ارائه و رسانه‌ای کرد. از آن‌جا که مبنای حمله جدید از ایده آلبرتینی و تکنیکی به نام AngeCryption است. این تکنیک اجازه می‌دهد ورودی و خروجی یک فایل عملگر رمزنگاری مبتنی بر الگوریتم AES را طوری کنترل کنید که اطلاعات اضافی به یک فایل افزوده شوند، ولی روی آن تأثیری نداشته باشند. استفاده از این تکنیک همراه با برخی فرمت فایلی مانند فرمت‌های عکس اجازه می‌دهد یک بدافزار را رمزنگاری کرده و درون فایل دیگری قرار دهید بدون این‌که سیستم رمزنگاری یا رمزگشایی آن به هم بریزد.
AngeCryption به صورت یک اسکریپت پایتون پیاده‌سازی شده و از روی Google Code قابل دانلود است. کاربران می‌توانند این اسکریپت را دانلود کرده و طوری فایل‌های ورودی و خروجی را انتخاب کنند و روی آن‌ها تغییرات لازم را بدهند که وقتی یک فایل ورودی با استفاده از کلیدهای مخصوص AES و سیستم CBC (سرنام Cipher-Block Chaining) رمزنگاری شد، فایل خروجی مورد نظر به دست آید.
اپریل و آلبرتینی هنگامی که این ایده را طراحی می‌کنند، آن را به صورت یک فایل APK (سرنام Android application package) تولید کردند. بعد آن‌ها یک برنامه مفهومی ساختند که نشان می‌داد چگونه می‌توان یک بدافزار را درون یک فایل عکس PNG فیلم مشهور جنگ ستارگان مخفی کرد. برنامه محققان می‌تواند این فایل PNG را با کلیدهای مخصوصی رمزگشایی کرده و یک فایل APK دوم بسازد که قابل نصب روی سیستم‌عامل‌های اندروید است. خراب‌کاران و هکرها می‌توانند به راحتی با استفاده از برنامه‌های مخرب دست به سرقت پیام‌های متنی، عکس‌ها و فایل‌های دیگر بزند و بعد از نام و حساب‌های کاربری قربانیان برای ساختن این APK استفاده کنند و آن را درون این فایل‌ها قرار دهند. این‌طوری هیچ‌گونه ردپایی از آن‌ها باقی نخواهد ماند و حتی در صورت کشف شدن بدافزار، امکان ردگیری وجود ندارد. این محققان می‌گویند اندروید برای نصب فایل APK نیاز به مجوز دارد که می‌توان با استفاده از متدی به نام DexClassLoader این مجوز را صادر کرد بدون این‌که کاربر چیزی مشاهده کند یا متوجه عملیاتی روی دستگاه خود شود.

 virus android 111

همچنین، نیازی نیست که حتماً بدافزار در درون عکس گنجانده شده باشد، بلکه می‌تواند از یک سرور راه دور مخفیانه دانلود شود. محققان دیگر می‌گویند برای عملی شدن این حمله، نیاز است برخی اطلاعات دیگر به انتهای فایل APK افزوده شود؛ زیرا این فایل به فرمت ZIP است و اجازه نمی‌دهد اطلاعات اضافی با فرمت EOCD به‌ آن اضافه شود، ولی تکنیک‌های دیگری وجود دارد که می‌تواند اطلاعات اضافی را به فایل ZIP بچسباند و یک فایل معتبر بسازد. این حمله روی نسخه اندروید ۴٫۴٫۲ کار می‌کند که آخرین نسخه آن منتشر شده است. گروه امنیتی توسعه‌دهنده‌ اندروید اعلام کردند که در حال برطرف کردن این باگ سیستم‌عامل هستند. اما به دلیل اکوسیستم تکه تکه اندروید، به احتمال زیاد تا مدت‌ها این باگ باقی خواهد ماند و روی بسیاری از دستگاه‌ها قابلیت اجرا دارد.