Cosa fare con un file APK contenente Swf.Exploit.CVE_2015_0323-1 e file ELF?

Naviga le tue risposte
2

Ho ricevuto un file APK da una fonte. Prima dell'installazione, ho eseguito una scansione antivirus su di esso. Il risultato aveva le seguenti caratteristiche principali:

  1. Il file contenuto Swf.Exploit.CVE_2015_0323-1
  2. Richiesto android.permission.INTERNET (accesso Internet completo)
  3. Conteneva un file ELF .

Oltre a ciò, le stringhe interessanti trovate nel file stavano seguendo: 

http://airdownload2.adobe.com/air?
https://www.adobe.com/airgames/5/
https://www.adobe.com/airgames/4/
http://s3-us-west-1.amazonaws.com/gamepreview/prod/airandroid/air.properties
http://www.adobe.com/airgames/3/
https://www.adobe.com/gamepreview/?game=notification/notificationClicked.html_
http://gamespace.adobe.com
https://dh8vjmvwgc27o.cloudfront.net
http://dh8vjmvwgc27o.cloudfront.net/AIRGamepad/connect_ping.txt
http://dh8vjmvwgc27o.cloudfront.net/AIRGamepad/connect_ping.txt?publisher=

Database vulnerabilità nazionale definisce l'exploit SWF rilevato come:

Heap-based buffer overflow in Adobe Flash Player before 13.0.0.269 and 14.x through 16.x before 16.0.0.305 on Windows and OS X and before 11.2.202.442 on Linux allows attackers to execute arbitrary code via unspecified vectors, a different vulnerability than CVE-2015-0327.

McAfee spiega ulteriormente:

The files are highly obfuscated and won't run as they are since they are part of an infection chain created by Angler when the user access a web page compromised by it (known as "landing page")

The big string passed as parameter to the page is a Base-64 encoded data, which is converted to the string below:

Subject=Ping&key=AFC095B821F238B75D827C52804B8C907BC1E546ED8FF102104C4A106

Riesco a vedere uno strano collegamento di Cloud front e un file connect_ping.txt lì presente. Se utilizzo l'app senza Internet, dovrei stare bene?

L'altra cosa sospetta è perché l'app vuole l'accesso a Internet completo poiché non ne ha affatto bisogno? È solo un gioco offline. Le stringhe mi fanno pensare che sia necessario accedere alla visualizzazione di annunci e alla notifica dei clic.

Il file ELF è qualcosa di cui non sono del tutto sicuro. Forse un quadro. Ma cosa succede se viene utilizzato come un malware ?

TL; DR, Devo installare l'app? Se è fuori tema, sarei grato di avere una visione più dettagliata degli exploit menzionati per prendere una decisione.

Il mio dispositivo è SGH-T999L con Android 4.3.

PS: su 56 fonti diverse, solo ClamAV ha rilevato l'exploit SWF. Tutti gli altri non hanno rilevato nulla. Quindi potrebbe essere un falso positivo. Ho usato la scansione di Virus-Total.com.

Anche Adobe ha rilasciato patch di sicurezza per contrastare questo exploit, se fa qualsiasi differenza

    
posta NSNoob 24.05.2016 - 09:10
fonte

1 risposta

3

Non dovresti.

Per prima cosa, non sai se il file è affidabile, lo hai preso da qualche "fonte". Non è mai consigliabile installare APK da fonti non affidabili, in particolare sul dispositivo principale.

In secondo luogo, contiene una vulnerabilità nota.

In terzo luogo, si tratta di un gioco offline, che richiede una connessione Internet completa (potrebbe dipendere dagli annunci, ma non si sa mai cosa trasmette e ricevendo).

In quarto luogo, hai una versione piuttosto vecchia di Android, e non è aggiornato con tutte le patch di sicurezza.

AGGIORNAMENTO: se l'app dispone dell'autorizzazione per la scrittura / modifica dei file sulla memoria del dispositivo, i file potrebbero rimanere anche dopo la disinstallazione dell'app.

    
risposta data 24.05.2016 - 09:54
fonte

Leggi altre domande sui tag

Google pensa che io sia un robot quando uso il proxy, ma solo in Safari Errore di privacy in google chrome