BadPack - это APK-файлы, в которых злоумышленники изменяют информацию о заголовках, чтобы затруднить анализ содержимого. Это особенно затрудняет задачу реверс-инжиниринга приложений и создает проблемы для инструментов анализа. Многие банковские трояны на базе Android используют BadPack.
BadPack затрудняет извлечение и анализ содержимого APK-файлов. Инструменты анализа, такие как Apktool и Jadx, испытывают проблемы при работе с такими файлами. Манифест Android, содержащий важную информацию о приложении, является основным компонентом APK-архива. Авторы вредоносного ПО вносят изменения в заголовки файлов, чтобы мешать аналитикам безопасности извлекать и анализировать содержимое.
Структура ZIP-файлов, используемых для упаковки APK-архивов, включает локальные заголовки файлов и заголовки файлов центрального каталога. Авторы вредоносного ПО могут изменять поля в этих заголовках, затрудняя анализ и извлечение содержимого.
Анализ телеметрии обнаружения Advanced WildFire показал, что вредоносные приложения, упакованные с помощью BadPack, представляют серьезную угрозу. Для борьбы с этой угрозой необходимо лучше понять BadPack и разработать соответствующие меры защиты.
Indicators of Compromise
SHA256
- 0003445778b525bcb9d86b1651af6760da7a8f54a1d001c355a5d3ad915c94cb
- 015bd2e799049f5e474b80cbbdcd592ce4e2dfbfae183bada86a9b6ec103e25e
- 131135a7c911bd45db8801ca336fc051246280c90ae5dafc33e68499d8514761
- 90c41e52f5ac57b8bd056313063acadc753d44fb97c45c2dc58d4972fe9f9f21
