¿Qué hacer con un archivo APK que contiene Swf.Exploit.CVE_2015_0323-1 y el archivo ELF?

Navega tus respuestas
2

Recibí un archivo APK de una fuente. Antes de la instalación, ejecuté un análisis de virus en él. El resultado tuvo las siguientes características principales:

  1. El archivo contenía Swf.Exploit.CVE_2015_0323-1
  2. Se requiere android.permission.INTERNET (acceso completo a Internet)
  3. Contenía un archivo ELF .

Aparte de eso, las cadenas interesantes que se encuentran en el archivo fueron las siguientes: 

http://airdownload2.adobe.com/air?
https://www.adobe.com/airgames/5/
https://www.adobe.com/airgames/4/
http://s3-us-west-1.amazonaws.com/gamepreview/prod/airandroid/air.properties
http://www.adobe.com/airgames/3/
https://www.adobe.com/gamepreview/?game=notification/notificationClicked.html_
http://gamespace.adobe.com
https://dh8vjmvwgc27o.cloudfront.net
http://dh8vjmvwgc27o.cloudfront.net/AIRGamepad/connect_ping.txt
http://dh8vjmvwgc27o.cloudfront.net/AIRGamepad/connect_ping.txt?publisher=

La base de datos de vulnerabilidad nacional define la vulnerabilidad de SWF detectada como:

  

Desbordamiento de búfer basado en Heap en Adobe Flash Player antes del 13.0.0.269 y   14.x a 16.x antes del 16.0.0.305 en Windows y OS X y antes del 11.2.202.442 en Linux permite a los atacantes ejecutar código arbitrario a través de no especificados vectores , una vulnerabilidad diferente que CVE-2015-0327.

McAfee explica con más detalle:

  

Los archivos están muy ofuscados y no se ejecutarán como están ya que   son parte de una cadena de infecciones creada por Angler cuando el usuario accede    una página web comprometida por ella (conocida como "página de destino")

     

La cadena grande que se pasa como parámetro a la página está codificada en Base-64   datos, que se convierten a la siguiente cadena:

     

Asunto = Ping & tecla = AFC095B821F238B75D827C52804B8C907BC1E546ED8FF102104C4A106

Puedo ver un enlace extraño de Cloud front y un archivo connect_ping.txt presente allí. Si uso la aplicación sin internet, ¿debería estar bien?

La otra cosa sospechosa es ¿por qué la aplicación quiere acceso completo a Internet ya que no la necesita en absoluto? Es sólo un juego fuera de línea. Las cadenas me hacen pensar que requiere acceso para mostrar anuncios y notificar sobre clics.

El archivo ELF es algo que no estoy del todo seguro. Tal vez sea un marco. Pero, ¿qué ocurre si se está utilizando como un malware?

TL; DR, ¿Debo instalar la aplicación? Si eso no es un tema importante, le agradecería obtener una vista más detallada de las vulnerabilidades mencionadas para tomar una decisión.

Mi dispositivo es SGH-T999L con Android 4.3.

PS: De las 56 fuentes diferentes, solo ClamAV detectó el exploit SWF. Todos los demás no detectaron nada. Entonces podría ser un falso positivo. Usé el escaneo de Virus-Total.com.

También Adobe lanzó parches de seguridad para contrarrestar esta vulnerabilidad, si hace cualquier diferencia

    
pregunta NSNoob 24.05.2016 - 09:10
fuente

1 respuesta

3

NO deberías.

Primero, no sabes si el archivo es confiable, lo obtuviste de alguna "fuente". Nunca es recomendable instalar APK desde fuentes no confiables, especialmente en su dispositivo principal.

En segundo lugar, contiene una vulnerabilidad conocida.

En tercer lugar, es un juego fuera de línea y requiere una conexión completa a Internet (puede ser debido a los anuncios, pero nunca se sabe lo que está transmitiendo y recibiendo).

Cuarto, tienes una versión bastante antigua de Android, y no está actualizada con todos los parches de seguridad.

ACTUALIZACIÓN: si la aplicación tiene permiso para escribir / modificar archivos en el almacenamiento de su dispositivo, los archivos pueden permanecer incluso después de la desinstalación de la aplicación.

    
respondido por el pri 24.05.2016 - 09:54
fuente

Lea otras preguntas en las etiquetas

¿Desea solicitar un PIN al instalar aplicaciones de Android? Google cree que soy un robot cuando uso proxy, pero solo en Safari