BadPackは、Androidオペレーティングシステムのファイル構造を悪用するために意図的に変更された悪意のあるAPKファイルです。.
通常, 攻撃者は、APKの圧縮ファイル形式のヘッダー情報を悪意を持って変更し、リバースエンジニアリングの取り組みを妨害します。. これらの改ざんされたヘッダーはBadPackの特徴です, Androidリバースエンジニアリングツールにとって大きな課題となる. この手法は、BianLianのようなAndroidベースのバンキング型トロイの木馬でよく使用されます。, ケルベロス, ティーボット.
これらの発見は Googleに報告 パロアルトネットワークス, これを含むアプリは存在しないことを確認した マルウェア 現在Google Playで見つかります. AndroidユーザーはGoogle Play Protectによってこのマルウェアの既知のバージョンから自動的に保護されます。, Google Play Servicesを搭載したデバイスではデフォルトで有効になっています. Google Play Protectは、悪意のある動作をするアプリをユーザーに警告したりブロックしたりできる。, これらのアプリがGoogle Play以外のソースから提供されている場合でも.
BadPackマルウェアはどのように動作するのか?
APKファイル, Androidアプリケーションに必須, ZIPアーカイブ形式を使用し、AndroidManifest.xmlという重要なファイルを含む. このファイルには、アプリケーションの動作に不可欠なデータと命令が保存されます。. BadPack APKで, 攻撃者はZIPヘッダーデータを改ざんする, ApktoolやJadxなどのツールがコンテンツを抽出して分析することが困難になる. 例えば, Apktool は BadPack サンプルから AndroidManifest.xml を抽出できないことがよくあります.
パロアルトネットワークス’ 6月からの高度な山火事検出テレメトリ 2023 6月まで 2024 ほぼ特定された 9,200 BadPack サンプル, 重大な脅威を示している. 形 1 これらの検出の月ごとの傾向を示す, 5月に顕著な増加が見られた 2024.
Android マニフェスト ファイルを理解する
Android マニフェスト ファイル, AndroidManifest.xml, APKサンプルの重要な設定ファイルです, Android OSにモバイルアプリケーションに関する重要な情報を提供する. これには活動の詳細が含まれます, サービス, 権限, および互換性のあるAndroidバージョン. このファイルを抽出して処理することが、APKサンプルの静的解析の最初のステップです。. マルウェア作成者 セキュリティアナリストによる分析を妨害するためにZIPヘッダーを改ざんすることがよくあります。.
ZIP ファイルの構造
ZIP形式はコンテンツを圧縮して1つのファイルにアーカイブします, 2つの主なヘッダータイプから構成される: ローカルファイルヘッダーと中央ディレクトリファイルヘッダー. マルウェア作成者は、これらのヘッダー内のフィールドを変更して、アナリストがAPKファイルのコンテンツを抽出できないようにすることができます。, APKをAndroidデバイス上で実行できるようにしながら.
ローカルファイルヘッダー
ローカルファイルヘッダーはZIPアーカイブ内の個々のファイルを表します. アーカイブはローカルファイルヘッダーで始まる, ファイルごとに繰り返す. これらのヘッダーは4バイトの署名で始まる (PK, フィリップ・カッツ, ZIP形式の作成者). 圧縮フィールド, バイトオフセット0x08と0x09に位置する, 圧縮方法を示します, 一般的にはDEFLATE (0080 ...). ヘッダーには、圧縮および非圧縮のサイズとファイル名のフィールドも含まれています。.
中央ディレクトリのファイルヘッダー
中央ディレクトリのファイルヘッダーは、ZIPアーカイブディレクトリの最後のローカルファイルヘッダーの後に表示されます。. これらはアーカイブの内容を要約したもので、オプションでAPK署名ブロックが含まれる場合があります。. これらのヘッダーには圧縮方法のフィールドも含まれています, サイズ, およびファイル名, ローカルファイルヘッダーとは異なるバイトオフセットに配置されている.
BadPackテクニックの分析
BadPackサンプルでは, 攻撃者はZIP構造のヘッダーを操作する, APKの抽出とAndroidManifest.xmlのデコードを防止する, 静的解析ツールが失敗する原因. この操作には、ローカルディレクトリと中央ディレクトリのファイルヘッダー間の不一致な値が含まれる可能性があります。. 例えば, 間違った圧縮方法または無効なサイズを指定する.
ApktoolやJadxなどの分析ツールはZIP形式の仕様に厳密に従う必要があるが, デバイス上のAndroidランタイムはより寛容, 中央ディレクトリヘッダーのみを検査する. したがって, BadPack APKはAndroidデバイスで実行できるが、分析ツールでは失敗する. これらの変更を元に戻し、元のZIP構造ヘッダー値を復元することで, アナリストはBadPackサンプルを正常に分析できる.
結論
Androidデバイスの増加は、プラットフォームに対するマルウェア攻撃に対抗する上で、標的の拡大と大きな課題をもたらしている。. BadPack を使用する APK ファイルは、APK マルウェア サンプルの高度化を反映しています。, セキュリティアナリストにとって大きな課題となる.
ユーザーは注意すべき 異常な権限を要求するAndroidアプリケーション 宣伝されている機能と一致していない, 懐中電灯アプリがデバイスの電話帳へのアクセスを要求するなど. また, デバイスのセキュリティを維持するために、サードパーティのソースからのアプリケーションのインストールを控えることをお勧めします。.
侵害の疑いがある場合や緊急の問題がある場合, ユニットに連絡する 42 支援のためのインシデント対応チーム.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: