Более 3 000 образцов вредоносного ПО для Android, использующих различные техники для обхода обнаружения

security IOC
Опубликовано

28 июня исследователи Zimperium zLab заметили, что Joe Sandbox опубликовал твит, в котором упоминался файл пакета приложений (APK), который не поддается анализу со стороны большинства антидекомпиляционных инструментов, но может быть установлен на Android-устройства, версия ОС которых выше Android 9 Pie (API 28).

В данном примере используется техника, которая ограничивает возможность декомпиляции приложения для большого количества инструментов, снижая возможности быть проанализированным. Для этого в apk (который по сути является zip-файлом) используется неподдерживаемый метод распаковки.

Однако APK для Android, использующий формат ZIP, поддерживает только два метода сжатия. Один из них - без сжатия, т.е. метод STORED (0x0000), а второй - алгоритм сжатия DEFLATE (0x0008). В зависимости от версии Android поведение по умолчанию для неизвестных или неподдерживаемых методов различается:

В Android 4.3 и ниже код Java для обработки ZIP-файлов проверяет, является ли метод DEFLATE, и в случае несоответствия предполагает, что был использован метод STORED.
В версиях, превышающих Android 4.3, Android ZIP-обработка принимает метод сжатия за DEFLATE, если указанный метод не совпадает с STORED.

В версиях Android ниже 9 приложения, использующие неподдерживаемые неизвестные методы сжатия, не устанавливаются, однако они корректно работают в версиях выше.

В дополнение к этому методу Zimperium zLab выявили и другие способы повреждения APK-файлов, препятствующие корректной работе инструментов анализа. К ним относятся:

  • Имена файлов размером более 256 байт: Этот прием основан на различиях между стандартом ZIP в отношении максимального размера имени файла (0xFFFF байт) и максимальным размером имени файла в Android (0xFF). В образце с sha: a8feda3a888751f9efd7223462381514a35910d0c7e92a8cc32f5b5c0bdc8271, объявлены элементы с именем файла больше 0xFF (0x1B6B).
  • Некорректный файл AndroidManifest.xml: Наличие деформированного файла axml - хорошо известный прием авторов вредоносного ПО, позволяющий скрыть информацию о приложении. В образце, о котором сообщает Joe Sandbox (Sha-1: 0ad5289c6b7a438e3970149b183e74b89f534109), выявлены проблемы, приводящие к аварийному завершению работы некоторых декомпилируемых инструментов с открытым кодом (Androguard...) при разборе AndroidManifest.

Indicators of Compromise

SHA256

  • 00c23ff1949927c7517b0876d7e64e186be28f853fec09662e3abda1da60876a
  • 0278ecf7616cdf0970a755027ea95ba6295f34e778d741c52c4fe9cae5c541b1
  • 06f6953e62ad5d51d842af7fa8ec591728044b801b16b83a4235ca339744e3f5
  • 0d3cdb83edb8ff6ecf37e6dcf47971b1b992938fe03749cf3c689f5dbda23960
  • 12b8736f7411bec6ed1b179c910e7a5a7eed7175b82b9456d7bfcdfa7037de6a
  • 12e06e546a46ca7674dd0b49fb5b80f3d8806003cc0abafcc8b1e586daf23074
  • 1402f350880c5b32a05fa1dffac3578823c6a289ef9690e760ec7202769d6365
  • 16494248965138f07512793215c59bfdb8ea123135c44965c40ebb75bc589fb9
  • 1cab0e8d2c1a8665bf293b4046663ab9fda7158883b19087e7c4fa56fd01acf3
  • 1cf4dd2a7f4102d208c54cf7ee7f5df9af3393ce3f87379040af28868de4829d
  • 1e829180329d4f33966289b96cb31f5f849b0029b03bba43618eaa021c9c50b3
  • 27279b62d681b7ebe46e0f7bae75e1c6e64e52819f72a33b0a8dcbd80363cdf0
  • 2761bd6c34a7b0a65ed28617c717fdb79c5a9d1b9c2ad01ee527f7b14bbd9a07
  • 29d36ea8fafbda1e16633a95b39a94b2ad1302cfb0488f8b016973d20cce23b2
  • 2ee5583720184a714f5002e122132da61a024feb4eae8241a44077b38b1fc422
  • 341640b3b2b4bf83a656c509587eefd4d7204725e5be7943588572b9664bf0b7
  • 37cdf1d157b4084c463b079cf80b581b3a8d1e0f9ed1fb51ef6753f31d44bb8e
  • 3ddd867f47ab3b822690fdf56e2159ee5315b0990a4a5758f032373139fcb1a9
  • 3f3e5abc0577c58fb1d7b4c5ff083d54a296f2b29325da7cbaf52eaeef26bcfc
  • 43f1b6c8913129f0307e655beb0b43cbca8ec060f22923b78490f430caed8c45
  • 4af465f1c9aa0958f8bb32d62cd02b16e50dbab10d66363963299e5359b6bf51
  • 50775695b67cf7b25ab385cd51f0be1d540ddfecd38f67fa5c4a3f3b6ea790c8
  • 520a2726794c46149e88a63d1251e01096ec01ccc3feb177a21d99c8248b55c3
  • 56258e2608210417ce1b656f269b7af42e74ca37c3c6934f0026a19a0d0fc561
  • 59d8f01e4a9fb0af4b994122409ae5986685d43bfa20e5c1106b80bf9a8ec08e
  • 5a3f1331b8e0d916f19a3c4971640df4ce04de3558ec7b28fc04848f59cc0033
  • 5aa3bc297f3aa94bf408c33a95f487f88053a038b4d1d8316fa5b1221cc95a47
  • 5dbebbf3c20c67d5d598a4449b97bb60287086ce1e6ee86a640ab3a9705c6b2e
  • 5ef83c6264d40219a992d752b29dc8bd95b11a8c9fd9b0d1a903c61db1de2d6a
  • 62175d88487a524066b4583cb139811efe8d2762e0d38354f65d95241c7f035e
  • 62493226f475c82919e26cfefb41dd35ecb5d01b493ed5fd204fbc8f35956fe2
  • 639cdfbfc0effd6ecd7cd676f75edf11d1dc0d73c0f3f1e9387a754de9e23095
  • 65c38d1947fa9babd51ec10ebe354cccafc256bbb4e46d25296e923842e9a853
  • 660b0bc7c7c5ba0143a6a1c2e7074d2c0120a4dbaa66e2a977d2927e5ba34c78
  • 661b9af1c92c145b557ea9b886413b7236bfe55d39c42a8596f87398f5a22dd4
  • 68531aaf4254c85e66c4a05dd9b7a13dd57054a17f70797b7256da8fe6e4c151
  • 6daf16115a518707e974fa5f3f8593e2d127a8a72576aef9d90462199bde1a55
  • 767dd5b31ce22f22500212ee7c3a0856bb61b0c63a8880c399d872b7d3cfca2c
  • 77e832796e16ec6cdd97c3b2a3ecf10c6aba7c7c084d3451887eaf3d63097abe
  • 7b376a08c56cc6439c96cab3be0445c9b130c6df61fa76afefe11f68af18e7f4
  • 8490258d7212039e3a2eda632aa918ccf4b361414b03fba351b1ea991c87be96
  • 858d7db898440fdd90aa01252f28e48114352e6bd1c8f0f23f80ea135b7c0db0
  • 85f486f81c07e541470695e8ec79ca4c773e3aad323bd5778814cbf85fa7eecf
  • 861121c20d087e8ea7d8db1f0b5897393a26037db7e3486eeedd14b8c8cfe46a
  • 8621541ac0cbb1b31d21099deea91a198ab144bfb04b0b62814a5a916f0b8313
  • 8a81ae6b6e9d57e5a8488ff0e1531fd86434ea93dd3bc6d2d5b03be96b5f90fe
  • 8db53e9532bb550d0ee6128fe24ceaf133b5234b9c418bbc96a255ad485e0756
  • 98f456dd21e90536736321b948032107e76b4d4c06b276e6a607425b4d19678e
  • 9a34f00048c729359c006f3e486cc0f1ba373a5eb01ee6c62de4baef6ed4af8c
  • 9becc5cdf0980e08e23581f3aec5906410300ff4b77d5cedc7acef55f31929e7
  • a77f3cfac151fc7fa263febcec64bde20d8f176dcd8da512bb668e01b9ca2602
  • ab390ed662e29cba27e6da2f1ecef53cb31959170e763fdd88b2f5f5bb3db6bd
  • b258643133127df87ca13549d6d23a7fc945a3a9789babee9e68984c25ca6067
  • b66cf325561ea9aa1bc1a0a27339f95b80e3ad03fe39bb513754f5ea624539cb
  • b8200525622b1fab3245a076018aea18a613f4b64e9ae4969ed49c875c87bc3e
  • b9af1bf509480059449f9166e048003c8f03f8d64ea8a6fb517b866512a0b755
  • c32bdd1b6f14af2bb06368fe2ffc3817b07bacb63ef53bb35f0e4cf95dc7aa69
  • c49c5ef4107aa2dd4c2684186a2c683177a7376230042b3dfbf3623ebbf9c387
  • c7e4c98c69f7c029d2d8e1eeee2bf1a165c43774f7492af7c19b808b2ab1bd0d
  • c94ef08929ecffc3b048ae867735bec8ab2672a054e5c88a98c3657e95cb8c73
  • ca9c13c45e1debada4674d72458432f7829ec72a92c2969999b7b5c2212ca6c5
  • d4f8c57accbfee26690ba94e2416ca88ab5f6ebdc821b0cf73b9e6d886375444
  • dce71131597b20aea87b8398fe4ecf5734dfdcff88d42d812532e26588377932
  • e02dee1e52c3ec5076a23ce0d8b0157c045e292caa67c92a4ff2111ecaa91b78
  • ebe384dfe8d4f8d23faa1ed07a40c72e0d6eff848ed963b0536e5264a875bd92
  • eee0df82a764372b569ad2050fd775a6f5647571789e386b2fe2489480b8b4e9
  • f23f87fa2c53c337c453a1ef6e0f9a55d8b7b747075ee8c27f70a72b5bfa1246
  • fb60c55633bcc7c1242942deb284b7d9dd9590aaf260e4fb4b57096b06e1e2fb
  • fdd5abde9b92d90814602718e11c8a4eaa4974fcbffbd17b23730c697d7f516a
  • fe1ff4793710ecef947a7c0bf9dab843ca294304de0d3ffa6a13b688be340768
  • ff6061936f2ffa2c0d27d2d1efae6fdb990569a81b744600e9c02f720760c76a
Похожие записи:
  1. Троянские приложения WhatsApp и Telegram охотятся за криптовалютными кошельками
  2. FakeCalls Malware IOCs
  3. Nexus Botnet IOCs
  4. DroidJack RAT IOCs
  5. SpinOk Malware IOCs
Android Zimperium zLab
Добавить комментарий