BadPack è un file APK dannoso intenzionalmente modificato per sfruttare la struttura dei file del sistema operativo Android.
Tipicamente, gli aggressori modificano in modo dannoso le informazioni dell'intestazione nel formato di file compresso degli APK per ostacolare gli sforzi di reverse engineering. Queste intestazioni manomesse sono un segno distintivo di BadPack, ponendo sfide significative per gli strumenti di reverse engineering di Android. Questa tecnica è comunemente utilizzata dai trojan bancari basati su Android come BianLian, Cerberus, e TeaBot.
Questi risultati sono stati segnalato a Google di Palo Alto Networks, che ha confermato che nessuna app contiene questo il malware si trovano attualmente su Google Play. Gli utenti Android sono automaticamente protetti dalle versioni note di questo malware da Google Play Protect, che è abilitato di default sui dispositivi con Google Play Services. Google Play Protect può avvisare gli utenti o bloccare le app che mostrano comportamenti dannosi, anche se queste app provengono da fonti esterne a Google Play.
Come funziona il malware BadPack?
file APK, essenziale per le applicazioni Android, utilizzare il formato di archivio ZIP e contenere un file critico denominato AndroidManifest.xml. Questo file memorizza dati e istruzioni vitali per il funzionamento dell'applicazione. Negli APK di BadPack, gli aggressori manomettono i dati dell'intestazione ZIP, rendendo difficile per strumenti come Apktool e Jadx estrarre e analizzare il contenuto. Per esempio, Apktool spesso non riesce a estrarre AndroidManifest.xml dai campioni BadPack.
Palo Alto Networks’ Telemetria avanzata per il rilevamento degli incendi boschivi da giugno 2023 a giugno 2024 identificato quasi 9,200 Campioni di BadPack, indicando una minaccia significativa. figura 1 illustra l'andamento mensile di queste rilevazioni, con un notevole aumento a maggio 2024.
Informazioni sul file manifesto Android
Il file Manifest di Android, AndroidManifest.xml, è un file di configurazione cruciale negli esempi APK, fornire informazioni essenziali sull'applicazione mobile al sistema operativo Android. Ciò include dettagli sulle attività, servizi, permessi, e versioni Android compatibili. L'estrazione e l'elaborazione di questo file è il primo passo nell'analisi statica di un campione APK. Autori di malware spesso manomettono le intestazioni ZIP per impedire agli analisti della sicurezza di eseguire questa analisi.
Struttura del file ZIP
Il formato ZIP comprime e archivia il contenuto in un unico file, comprendente due tipi principali di intestazioni: Intestazioni dei file locali e intestazioni dei file della directory centrale. Gli autori di malware possono modificare i campi all'interno di queste intestazioni per impedire agli analisti di estrarre il contenuto di un file APK, pur consentendo comunque l'esecuzione dell'APK su un dispositivo Android.
Intestazioni dei file locali
Le intestazioni dei file locali rappresentano i singoli file in un archivio ZIP. L'archivio inizia con un'intestazione di file locale, ripetuto per ogni file. Queste intestazioni iniziano con una firma di 4 byte (PK, per Phillip Katz, il creatore del formato ZIP). Il campo di compressione, situato negli offset byte 0x08 e 0x09, indica il metodo di compressione, comunemente DEFLATE (0x0800). L'intestazione include anche campi per le dimensioni compresse e non compresse e per i nomi dei file.
Intestazioni dei file della directory centrale
Le intestazioni dei file della directory centrale vengono visualizzate dopo l'ultima intestazione del file locale in una directory di archivio ZIP. Riassumono il contenuto dell'archivio e possono includere un blocco di firma APK facoltativo. Queste intestazioni contengono anche campi per il metodo di compressione, dimensioni, e nomi di file, situati a offset di byte diversi rispetto alle intestazioni dei file locali.
Analisi della tecnica BadPack
Nei campioni di BadPack, gli aggressori manipolano le intestazioni della struttura ZIP, impedendo l'estrazione dell'APK e la decodifica di AndroidManifest.xml, causando il fallimento degli strumenti di analisi statica. Questa manipolazione può includere valori non corrispondenti tra le intestazioni dei file della directory locale e centrale. Per esempio, specificando un metodo di compressione non corretto o dimensioni non valide.
Mentre strumenti di analisi come Apktool e Jadx richiedono una rigorosa aderenza alle specifiche del formato ZIP, Il runtime Android sui dispositivi è più indulgente, ispezionando solo l'intestazione della directory centrale. Così, Gli APK di BadPack possono essere eseguiti sui dispositivi Android ma non superano gli strumenti di analisi. Invertendo queste modifiche e ripristinando i valori originali dell'intestazione della struttura ZIP, gli analisti possono analizzare con successo i campioni BadPack.
Conclusione
Il numero crescente di dispositivi Android rappresenta un obiettivo crescente e una sfida significativa nella lotta agli attacchi malware sulla piattaforma. I file APK che utilizzano BadPack riflettono la crescente sofisticatezza dei campioni di malware APK, ponendo sfide formidabili per gli analisti della sicurezza.
Gli utenti dovrebbero stare attenti Applicazioni Android che richiedono permessi insoliti non allineati con la funzionalità pubblicizzata, come un'app torcia che richiede l'accesso alla rubrica del dispositivo. Anche, si consiglia di astenersi dall'installare applicazioni da fonti terze per mantenere la sicurezza del dispositivo.
Se sospetti un compromesso o hai una questione urgente, contattare l'Unità 42 Team di risposta agli incidenti per assistenza.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: