Exploit.APKDuplicateName в вирусной библиотеке:

Exploit.APKDuplicateName – детектирование для Android-приложений, в которых использована т.н. уязвимость «Master Key» (CVE-2013-4787), а также уязвимость «Extra Field».

Первая уязвимость основана на том, как система безопасности ОС Android обрабатывает программы при их установке. В частности, если apk-пакет содержит в одном подкаталоге два файла с одинаковым именем (например, два файла classes.dex), то операционная система проверяет цифровую подпись первого файла, а второй оставляет без внимания. Одновременно с этим к установке будет допущен именно второй файл, который не проходил проверку. Иными словами, сформировав подобным образом apk-пакет, злоумышленники могут добавить к легитимному приложению вредоносный функционал, не нарушая целостность цифровой подписи программы и не вызывая, тем самым, лишних подозрений у пользователей.

Антивирус Dr.Web определяет все Android-приложения с уязвимостью «Master Key» как Exploit.APKDuplicateName вне зависимости от того, присутствует ли она из-за технической ошибки разработчика или же по причине целенаправленной модификации программы киберпреступниками, поэтому, если вы не уверены в надежности источника программы, лучше отказаться от ее установки.

Вторая уязвимость использует ошибку ОС Android в методе обработки цифровых подписей устанавливаемых apk-пакетов, прошедших специальную модификацию. Как известно, apk-файлы представляют собой zip-архивы, содержащие все компоненты Android-приложения, в т.ч. исполняемый файл classes.dex. Согласно спецификации формата zip, данные архивы могут содержать служебное поле (т.н. extra field), которое хранит различную вспомогательную информацию. Злоумышленники могут воспользоваться этим полем, добавив в него значение длиной 65533 байт и разместив в нем оригинальный dex-файл без первых трех байт. При этом на место оригинала помещается модифицированный злоумышленниками файл classes.dex. Уязвимость «Extra Field» заключается в том, что при установке сформированного таким образом apk-файла один из компонентов операционной системы некорректно выполняет обработку zip-архива, содержащего добавленное ранее в его структуру значение extra field, проверяя цифровую подпись размещенного в нем оригинального dex-файла. В то же время, для установки будет использован второй файл classes.dex, который был помещен злоумышленниками на место исходного файла.

Уязвимости «Master Key» и «Extra Field» уже устранены инженерами компании Google, однако дальнейший выпуск соответствующих обновлений операционной системы ложится на плечи производителей мобильных Android-устройств. Принимая во внимание тот факт, что большое число присутствующих на рынке аппаратов уже не поддерживается выпустившими их компаниями, существует вероятность, что такие устройства никогда не получат необходимое исправление. Тем не менее, мы настоятельно рекомендуем устанавливать все вновь выходящие официальные патчи по мере их выхода, вне зависимости от того, когда было изготовлено ваше мобильное устройство.