Araştırmacıların Android uygulamalarındaki kötü amaçlı yazılımları analiz etmesini ve tespit etmesini zorlaştıran kötü amaçlı paketlenmiş APK dosyaları kümesi olan “BadPack” ortaya çıktı. Bu, yaygınlığının Android bankacılık Truva atları ve TeaBot gibi diğer kötü amaçlı yazılımlar son yıllarda artış gösterdi ve bu cihazların kullanıcılarını rahatsız etmeye devam ediyor.
BadPack dosyaları, APK dosyaları için sıkıştırılmış bir dosya biçiminde kötü amaçlı olarak değiştirilmiş başlık bilgileri içerir ve “tipik olarak Android tersine mühendislik araçları için bir zorluk oluşturur”, Palo Alto Networks Unit 42’den Lee Wei Yeong açıklığa kavuşmuş 16 Temmuz’da yayınlanan bir raporda.
Geçtiğimiz yıl, Unit 42’nin telemetrisi Android uygulamalarında yaklaşık 9.200 BadPack örneği tespit etti; bunlara şunlar dahildir: Google Oyun; Ancak Google, bunları mobil uygulama mağazasından kaldırdığını söylüyor.
BadPack, Android kötü amaçlı yazılımlarının güvenlik analizinin tarihsel olarak bu kadar zor olmasının bir nedeni olabilir. “BadPack kullanan APK dosyaları, APK kötü amaçlı yazılım örneklerinin artan karmaşıklığını yansıtır,” diye yazdı Yeong. “Bu yalnızca bir zorlu meydan okuma “Güvenlik analistleri için önemli bir gelişme olmakla birlikte, bu tehditleri tespit edip azaltmak için yenilikçi teknik ve araçların sürekli geliştirilmesine duyulan ihtiyacın da altını çiziyor.”
APK dosyaları, kullanıcılar tarafından kullanılan uygulamalardır. Android İşletim Sistemi ZIP arşiv formatını kullanan ve arşivin içeriğine ilişkin verileri ve talimatları depolayan AndroidManifest.xml adlı bir dosya içeren.
Ancak bir BadPack APK dosyasında saldırganlar, içeriğinin analizini engellemeye çalışan bir şekilde ZIP başlık verilerini kurcaladılar. Unit 42 araştırmacıları, “birçok” Android bankacılık Truva atları – aralarında TeaBot (aka Anatsa)BianLian ve Cerberus — Android cihazlara tespit edilmeden kötü amaçlı yazılım bulaştırmalarına yardımcı olan BadPack’i kullanıyor.
BadPack Kötü Amaçlı Yazılım Algılamasını Nasıl Önler
AndroidManifest.xml, hem kullanıcı tarafından başlatılan aktiviteleri hem de uygulama tarafından çalıştırılan hizmetleri ele alan bileşenler de dahil olmak üzere Android işletim sistemine bir mobil uygulama hakkında temel bilgiler sağlar. Manifest ayrıca kullanıcıların uygulamalara doğru şekilde çalışması için verdiği izinleri ve uygulamanın çalıştığı Android sürümlerini de içerir.
Bununla birlikte, bir APK örneğinin statik analizindeki ilk adım, bu bildirim dosyasını okumak ve işlemektir; bu nedenle kötü amaçlı yazılım yazarlarının, güvenlik analistlerinin bunu engellemesini zorlaştırmak için dosyada değişiklik yapması gerekir.
BadPack bunu ZIP dosyasının yapı başlıklarını kurcalayarak yapar ve APK’nin AndroidManifest.xml’i çıkarmasını ve kodunu çözmesini engeller. “Bu, statik analiz boru hattında aşağı akışta bir dizi hataya neden olur,” diye yazdı Yeong. “Sonuç olarak, dosya okunamaz ve tam olarak işlenemez.”
Kötü amaçlı yazılım yazarlarının, kötü amaçlı yazılımları tespit etmek için kullanılan Apktool veya Jadx gibi yaygın statik analiz araçlarını kandırmak için bu başlık değerlerini manipüle etmesinin çeşitli yolları vardır. Yeong, bu araçların “genellikle Android cihazlardaki Android sistem çalışma zamanından daha katı” olduğunu yazdı.
“Bu analiz araçları için, bir APK örneği ZIP dosya biçimi özelliklerine uymalıdır,” diye yazdı. “Bu nedenle, Apktool ve Jadx bir APK dosyasındaki ZIP yapı başlıklarının hem yerel dosya başlığını hem de merkezi dizin dosyası başlığını ayrıştırır.”
Ancak Android cihazlar bu analiz araçları kadar resmi dosya formatı konusunda katı değillerdir, bu nedenle bir APK dosyası resmi dosya formatı spesifikasyonuna tam olarak uymayan geçersiz değerler içerebilir ve yine de çalışabilir.
“Bunun nedeni Android sistem çalışma zamanının yalnızca merkezi dizin dosyası başlığını denetlemesidir,” diye yazdı Yeong. “Yerel dosya başlığından gelen bir değer eşleşmezse, Android çalışma zamanı doğru değerin gerçekte ne olması gerektiğini varsayar.”
Bu, Apktool ve Jadx gibi araçların, bir Android cihaza sorunsuz bir şekilde yüklenen ve çalışan bir BadPack APK örneğini analiz edememesine neden olan davranış farkıdır ve bu nedenle BadPack’i kullanan Truva atları ve diğer kötü amaçlı yazılımların cihazı başarıyla enfekte etmesine olanak tanır, dedi.
BadPack Algılama ve Önleme
Unit 42, APK analiz araçlarını kullanmadan önce orijinal ZIP yapı başlık değerlerini geri yüklemek için başlıkta yapılan değişiklikleri tersine çevirerek BadPack APK örneklerini analiz etmenin bir yolunu buldu. Araştırmacılar ayrıca, APK DenetçisiGeçtiğimiz Aralık ayında piyasaya sürülen , BadPack mevcut olduğunda bile APK içeriğini başarıyla çıkarabiliyor ve Android manifest dosyasını çözebiliyor; böylece savunmacılara kötü amaçlı yazılımı tespit etme yolu sağlıyor.
Yeong, Android kullanıcılarının kendilerini gizli kötü amaçlı yazılımlardan koruyabilecekleri diğer yolların, reklamı yapılan işlevsellikleriyle uyumlu olmayan sıra dışı izinler gerektiren Android uygulamalarından şüphelenmek olduğunu önerdi. Örneğin, Android el feneri uygulaması gibi bir şeyin cihazın telefon rehberine erişmek için izin istemesi kırmızı bayrak olmalıdır, diye belirtti.
Yeong, “İnsanların cihazlarına üçüncü taraf kaynaklı uygulamaları yüklemekten de kaçınmalarını öneriyoruz” diye ekledi.