BadPack es un archivo APK malicioso alterado intencionalmente para explotar la estructura de archivos del sistema operativo Android..
Típicamente, Los atacantes modifican maliciosamente la información del encabezado en el formato de archivo comprimido de los APK para obstaculizar los esfuerzos de ingeniería inversa.. Estos encabezados alterados son un sello distintivo de BadPack, planteando desafíos importantes para las herramientas de ingeniería inversa de Android. Esta técnica es comúnmente utilizada por troyanos bancarios basados en Android como BianLian., Cerberus, y TeaBot.
Estos hallazgos fueron reportado a Google por Palo Alto Networks, quien confirmó que no hay aplicaciones que contengan esto el malware Actualmente se encuentran en Google Play. Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware por Google Play Protect, que está habilitado de forma predeterminada en dispositivos con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que exhiban un comportamiento malicioso, Incluso si estas aplicaciones provienen de fuentes externas a Google Play.
¿Cómo funciona el malware BadPack??
archivos APK, Esencial para aplicaciones de Android, Utilice el formato de archivo ZIP y contenga un archivo crítico llamado AndroidManifest.xml. Este archivo almacena datos e instrucciones vitales para el funcionamiento de la aplicación.. En APK de BadPack, Los atacantes manipulan los datos del encabezado ZIP, lo que dificulta que herramientas como Apktool y Jadx extraigan y analicen el contenido. Por ejemplo, Apktool a menudo no puede extraer AndroidManifest.xml de las muestras de BadPack.
Palo Alto Networks’ Telemetría de detección avanzada de incendios forestales de junio 2023 a junio 2024 identificado casi 9,200 Muestras de BadPack, indicando una amenaza significativa. Figura 1 ilustra las tendencias mensuales de estas detecciones, con un notable incremento en mayo 2024.
Comprensión del archivo de manifiesto de Android
El archivo de manifiesto de Android, AndroidManifest.xml, es un archivo de configuración crucial en los ejemplos de APK, Proporcionar información esencial sobre la aplicación móvil para el sistema operativo Android.. Esto incluye detalles sobre las actividades., servicios, permisos, y versiones de Android compatibles. Extraer y procesar este archivo es el primer paso en el análisis estático de una muestra de APK.. Autores de malware A menudo alteran los encabezados ZIP para impedir que los analistas de seguridad realicen este análisis..
Estructura del archivo ZIP
El formato ZIP comprime y archiva el contenido en un solo archivo, que comprende dos tipos principales de encabezados: Encabezados de archivos locales y encabezados de archivos del directorio central. Los autores de malware pueden alterar los campos dentro de estos encabezados para evitar que los analistas extraigan el contenido de un archivo APK., mientras que todavía permite que el APK se ejecute en un dispositivo Android.
Encabezados de archivos locales
Los encabezados de archivos locales representan archivos individuales en un archivo ZIP. El archivo comienza con un encabezado de archivo local, repetido para cada archivo. Estos encabezados comienzan con una firma de 4 bytes. (PK, Para Phillip Katz, El creador de formato ZIP). El campo de compresión, Ubicado en los desplazamientos de byte 0x08 y 0x09, indica el método de compresión, comúnmente DESINFLAR (0x0800). El encabezado también incluye campos para tamaños comprimidos y sin comprimir y nombres de archivos..
Encabezados de archivos del directorio central
Los encabezados de archivo del directorio central aparecen después del último encabezado de archivo local en un directorio de archivo ZIP. Resumen el contenido del archivo y pueden incluir un bloque de firma APK opcional. Estos encabezados también contienen campos para el método de compresión., tamaños, y nombres de archivos, Ubicados en desplazamientos de bytes diferentes a los de los encabezados de archivos locales..
Análisis de la técnica BadPack
En muestras de BadPack, Los atacantes manipulan los encabezados de la estructura ZIP, Prevenir la extracción de APK y la decodificación de AndroidManifest.xml, Provocando que las herramientas de análisis estático fallen. Esta manipulación puede incluir valores no coincidentes entre los encabezados de archivos del directorio local y central.. Por ejemplo, especificar un método de compresión incorrecto o tamaños no válidos.
Si bien las herramientas de análisis como Apktool y Jadx requieren un estricto cumplimiento de las especificaciones del formato ZIP, El tiempo de ejecución de Android en los dispositivos es más indulgente, solo inspeccionando el encabezado del directorio central. Por lo tanto, Los APK de BadPack pueden ejecutarse en dispositivos Android pero no superan las herramientas de análisis. Al revertir estos cambios y restaurar los valores del encabezado de la estructura ZIP original, Los analistas pueden analizar con éxito las muestras de BadPack.
Conclusión
El creciente número de dispositivos Android representa un objetivo cada vez mayor y un desafío significativo en la lucha contra los ataques de malware en la plataforma.. Los archivos APK que utilizan BadPack reflejan la creciente sofisticación de las muestras de malware APK, planteando desafíos formidables para los analistas de seguridad.
Los usuarios deben tener cuidado con Aplicaciones de Android que solicitan permisos inusuales No está alineado con su funcionalidad anunciada, como una aplicación de linterna que solicita acceso a la agenda telefónica del dispositivo. También, Es recomendable abstenerse de instalar aplicaciones de fuentes de terceros para mantener la seguridad del dispositivo..
Si sospecha de un compromiso o tiene un asunto urgente, Contacte con la Unidad 42 Equipo de respuesta a incidentes para asistencia.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: