Contornando o Bouncer do Google, o sistema anti-malware do Android

Em resposta ao alvo cada vez maior que seu sistema operacional Android apresentava aos hackers, o Google lançou o sistema anti-malware “Bouncer” em fevereiro de 2012. O Bouncer foi projetado para filtrar aplicativos maliciosos antes que eles aparecessem no Android Market, como foi chamado na época. O nome mudou para Google Play, mas Bouncer continuou avançando, silenciosamente nos protegendo de vermes e cavalos de Tróia.

O Google não tinha muitos detalhes quando revelou o Bouncer, mas agora dois pesquisadores de segurança da Duo Security, Charlie Miller e Jon Oberheide, encontraram uma maneira de acessar remotamente o Bouncer e explorá-lo por dentro. O que eles descobriram mostra que autores de malware inteligentes ainda podem destruir seu telefone.



O que o Bouncer faz

Ao longo de 2011, o Google foi atormentado por ocorrências de Malware Android tirando vantagem de exploits no código do sistema operacional. O que era pior, às vezes esses aplicativos maliciosos acabavam entrando no Android Market. Havia aplicativos que roubavam contatos, rastreavam suas teclas digitadas e até mesmo aqueles que acumulavam contas enormes enviando mensagens de texto para números premium. Esse código desagradável geralmente flutuava em fóruns warez, mas sua aparição na Play Store não era inédita.



Google PlayO Google sempre permitiu que os desenvolvedores carreguem seus aplicativos para disponibilizá-los imediatamente. Mas, conforme o Android atraiu mais atenção do tipo errado de pessoa, ficou claro que algo precisava ser feito.

O resultado foi Bouncer, mas o Google optou por falar sobre isso apenas nos termos mais gerais a princípio. O Bouncer foi projetado para adicionar uma nova camada de segurança ao Android sem exigir que os desenvolvedores passem por um tedioso processo de aprovação executado por humanos magros. A eficiência fria de uma máquina automatizada é tudo o que o Google precisa.



O anúncio de fevereiro afirmou que o Bouncer estava funcionando silenciosamente em segundo plano por vários meses, o que resultou em uma queda de 40% nos aplicativos potencialmente maliciosos no Market. Quando as verificações forem concluídas, os aplicativos aprovados serão publicados da maneira normal. Os desenvolvedores só sofreram alguns minutos de atraso. Parecia quase uma bala mágica na época.

Como estamos aprendendo agora, o malware aniquilado pelo Bouncer pode ter sido o fruto mais fácil.

Como o Bouncer funciona por dentro

Miller e Oberheide têm investigado o Market / Play Store há algum tempo em um esforço para aprender mais sobre o Bouncer. Os pesquisadores finalmente conseguiram dê uma olhada no eliminador de spam com um aplicativo Android especialmente codificado projetado para permitir acesso remoto ao Duo Security. Bouncer é um telefone virtual sendo emulado em um servidor do Google. Quando o Bouncer carregou o aplicativo trojan, Miller e Oberheide foram capazes de alimentar os comandos do shell do Bouncer por meio de uma linha de comando. É assim que os segredos de Bouncer foram revelados.



O sistema está executando um tipo de software de virtualização chamado QEMU, que é um sinalizador facilmente detectável que pode dizer a um aplicativo que está sendo executado no Bouncer. A conta usada para registrar o telefone virtual também é idêntica, fornecendo uma segunda maneira simples de fazer a impressão digital do Bouncer. O Google configurou cada instância de seu telefone virtual com honeypots para atrair o malware a fazer o que ele faz de melhor: roubar coisas.

Cat BouncerExistem duas fotos no telefone Bouncer; um de Lady Gaga e um de um gato. Se um aplicativo for detectado enviando essas imagens para um servidor remoto, o Bouncer o chutará rapidamente. Da mesma forma, se um aplicativo tentar coletar as informações de contato do telefone, o que inclui uma única entrada para um Michelle.k.levin@gmail.com, isso também fará com que o aplicativo seja inicializado. O Bouncer também monitora o serviço de SMS no caso de um aplicativo tentar enviar mensagens de texto não autorizadas para números premium.

Não há como negar que esta é uma maneira engenhosa de escanear ameaças desagradáveis, mas como o Duo Security aponta, os invasores podem facilmente derrotar o Bouncer em seu próprio jogo.

Como o Bouncer pode ser quebrado

Duo Security aprendeu uma lição importante de sua pequena incursão no Bouncer: ele só funciona quando ninguém conhece seu funcionamento interno. Conforme descrevi, Miller e Oberheide descobriram várias maneiras de fazer impressões digitais no ambiente do Bouncer. Isso significa que um autor de malware pode construir um módulo que suspende o comportamento malicioso por um determinado período de tempo quando o Bouncer é detectado.

Mesmo sem ir tão longe, os autores de malware poderiam escapar da detecção jogando com calma. O Bouncer não executa aplicativos indefinidamente; na verdade, ele apenas verificará cada aplicativo carregado por cerca de 5 minutos antes de declará-lo seguro. Os bandidos só precisam manter suas intenções ocultas por um curto período de tempo para escapar do scanner como ele existe agora.

ConchaAlternativamente, as pessoas suspeitas que procuram explorar seu telefone podem simplesmente carregar um aplicativo inócuo que ultrapassa o Bouncer com louvor. Então, com o tempo, os componentes podem ser adicionados por meio de atualizações da Play Store, que permitem recursos maliciosos inativos. Obviamente, este é o longo contra, mas para a recompensa certa, pode valer a pena.

A Duo Security afirma que está em contato com o Google para corrigir as vulnerabilidades. Algumas coisas podem ser simples de consertar, como escanear aplicativos por um longo período de tempo ou alterar as informações padrão da conta. Mas outros, como o ambiente virtualizado facilmente detectável, serão mais difíceis de proteger contra ataques. A melhor solução seria rodar aplicativos em dispositivos reais, mas a logística pode tornar isso impossível.

Miller e Oberheide oferecerão uma demonstração completa do hack no SummerCon no final desta semana. Até então, o Google provavelmente está trabalhando duro para tapar os buracos do Bouncer para se proteger contra uma nova onda de malware.

Copyright © Todos Os Direitos Reservados | 2007es.com