Como resultado, os pesquisadores de segurança estão enfrentando um grande desafio em superar a complexidade dessas estratégias anti-descompilador e anti-depuração dos empacotadores.
Recentemente, SophosLabs observou um aumento no uso de packers Android em arquivos APK. Os empacotadores Android são capazes de criptografar um arquivo classes.dex original, usar um binário ELF para descriptografar o arquivo dex para a memória em tempo de execução e, em seguida, executar via DexclassLoader.
Em outras palavras, os empacotadores Android têm a capacidade de alterar a estrutura geral eo fluxo de um arquivo APK Android, o que é mais complicado do que técnicas de ofuscação como ProGuard, DexGuard e injeção de bytes indesejados.
Os empacotadores Android foram originalmente criados para proteger a propriedade intelectual de aplicativos contra a sua cópia ou alteração por terceiros com fins lucrativos. ApkProtect.com e Bangcle.com são os dois primeiros provedores de serviços de embalagem em linha. Bangcle.com ainda emprega mecanismos de verificação de vírus para evitar malwares que estão sendo embalados.
No entanto, seus sistemas de medição centralizados e motores de varredura não poderiam banir os autores de malware de usar seus serviços. Uma porcentagem crescente de malware, como o banco Zeus, SMS Sender e aplicativos re-empacotados, são embalados por seus serviços. Além disso, o SophosLabs encontrou malware embalado por um empacotador personalizado.
Como resultado, os pesquisadores de segurança estão enfrentando um grande desafio em superar a complexidade dessas estratégias anti-descompilador e anti-depuração dos empacotadores. As ferramentas existentes de engenharia reversa (RE) não são capazes de descompactar e inspecionar cargas úteis ocultas dentro de aplicativos compactados. As caixas de proteção do Android têm problemas para oferecer informações de análise dinâmica como aplicativos compactados no Android Emulator. Portanto, distinguir o malware do Android de um grupo de aplicativos compactados é muito mais difícil do que de uma série de aplicativos ofuscados.
Este artigo tenta abordar as técnicas anti-descompilador e anti-depuração dos empacotadores acima, revelar as últimas estatísticas de malware embalado Android, usar utilitários ER estáticos para analisar seu fluxo lógico e estruturas de dados e demonstrar comportamentos em tempo de execução através de ferramentas dinâmicas.
Além disso, estamos construindo soluções para investigar as cargas ocultas através da restauração dos arquivos originais do dex do Android do despejo de memória. Finalmente, o artigo apresentará um método genérico para detectar malware embalado Android.
Vídeo
https://www.youtube.com/watch?v=RNqzF6X9lms
Para mais informações, visite: - https://www.virusbulletin.com