18/07/24
В последние годы киберпреступники всё чаще используют вредоносные приложения для Android. Одной из недавних ключевых угроз, по данным исследователей из компании Palo Alto Networks, стала новая форма вируса BadPack.
Вредонос представляет собой APK-файл, специально упакованный с изменёнными заголовками, что затрудняет его анализ и выявление. Этот метод также активно используется в банковских троянах, таких как BianLian, Cerberus и TeaBot.
APK-файлы — это пакеты приложений для Android, использующие формат ZIP. Основной файл в этих пакетах — AndroidManifest.xml, который содержит важную информацию о приложении. В случае с BadPack этот файл имеет изменённые заголовки, что мешает его извлечению и анализу.
ZIP-формат включает два основных типа заголовков: заголовки локальных файлов и заголовки файлов центрального каталога. Злоумышленники могут изменять поля в этих заголовках, чтобы предотвратить извлечение содержимого APK-файла.
Примеры изменений в BadPack:
- Указание корректного метода сжатия, но с неправильным размером сжатого файла.
- Указание неверного метода сжатия, когда фактический метод — STORE.
- Указание метода сжатия только в локальном заголовке, когда фактический метод — DEFLATE.
Такие инструменты, как 7-Zip, Apktool, Jadx и другие, не могут корректно распаковать или проанализировать BadPack из-за изменённых заголовков. Однако недавно вышедший общедоступный инструмент apkInspector способен извлекать и декодировать AndroidManifest.xml даже из таких файлов.
Специалисты Palo Alto сообщили о своих находках в Google. Согласно данным компании, в официальном магазине Google Play нет приложений с этим вирусом. Пользователи Android защищены Google Play Protect, который блокирует известные вредоносные приложения, даже если они загружены из сторонних источников.
BadPack представляет серьёзную угрозу для пользователей Android и усложняет работу аналитиков по кибербезопасности. Для защиты рекомендуется использовать надёжные средства безопасности и избегать установки приложений из ненадёжных источников.
