Eşsiz Sıkıştırma Yöntemleri Kullanan 3.000+ Android Kötü Amaçlı Yazılım


Android Akıllı Telefonlar, bağlantıda kalmamıza yardımcı oldukları ve yalnızca aşağıdakiler gibi birkaç günlük görevi yerine getirmemize yardımcı oldukları için günlük hayatımızda hayati bir rol oynar:-

  • Alışveriş
  • Bankacılık
  • tarama
  • Bağlantılar

Ancak bunun yanı sıra akıllı telefonlar değerli ve gizli verilerimizi sakladığından siber suçluların veya tehdit aktörlerinin de dikkatini çekiyor.

Zimperium zLab’daki siber güvenlik araştırmacıları kısa bir süre önce, Android 9 Pie’nin üzerindeki Android işletim sistemi sürümüne yüklenebilen, ancak kaynak koda dönüştürme araçlarının çoğundan taranamayan “a.apk” adlı bir uygulama paketi dosyası (APK) belirledi. .

UZMANLAR, Joe Security tarafından yayınlanan bir Tweet’te bu APK örneğini (2f371969faf2dc239206e81d00c579ff) TESPİT ETTİ.

Algılanan APK’ya genel bakış

  • APK Örnek Adı: a.apk
  • Açıklama: Yara, geçersiz zip sıkıştırmasına sahip apk algıladı
  • Analiz Kimliği: 895672
  • MD5: 2f371969faf2dc239206e81d00c579ff
  • SHA1: 0ad5289c6b7a438e3970149b183e74b89f534109
  • SHA256:b3561bf581721c8
  • Kural: JoeSecurity_apk_invalid_zip_compression

Android Kötü Amaçlı Yazılım Benzersiz Sıkıştırma

Bu örnek, APK’sında tamamen desteklenmeyen bir sıkıştırma açma yöntemi kullanarak kaynak koda dönüştürmeyi önlerken, bu bir zip dosyasıdır ve birçok araç için tam analizi zorlaştırır.

Sınıflandırma (Kaynak – Joe Sandbox)

Bununla birlikte, eski bir yöntem olmasına rağmen, doğası gereği karmaşıktır ve statik incelemenin önlenebilmesi için otomatik komut dosyası analizinden kaçınmak için APK sıkıştırma algoritmalarını değiştirmeyi içerir.

16 bit kapsam ile 65.536 seçenek mevcuttur, ancak Android’in ZIP kullanan APK’sı yalnızca iki sıkıştırma yöntemini barındırır.

Aşağıda, bu iki sıkıştırma yönteminden bahsettik: –

  • STORED yöntemi (0x0000)
  • DEFLATE (0x0008) sıkıştırma algoritması

Ayrıca, 9’un altındaki Android sürümlerinde desteklenmeyen sıkıştırma yöntemleri yüklemeyi engeller, ancak yukarıdaki Android 9 sürümü söz konusu olduğunda düzgün çalışır.

MacOS Archive Utility gibi bazı araçlar, APK’dan “AndroidManifest.xml” gibi kritik analiz dosyalarını çıkaramıyor. Ancak bunun yanı sıra JEB, en son sürümünde bu kusurlu sıkıştırmayı düzeltti.

Tespit Edilen Teknikler

Aşağıda, güvenlik analistleri tarafından tespit edilen tüm tekniklerden bahsetmiştik: –

  • 256 bayttan fazla dosya adları
  • Bozuk AndroidManifest.xml dosyası
  • Bozuk Dize Havuzu

Zimperium zLabs’teki siber güvenlik analistleri, analizi engellemek için 3.300 örneğin tamamının “desteklenmeyen bilinmeyen sıkıştırma” kullandığını ve hatta işletim sisteminin yükleyemeyeceği kadar bozuk örnekler bulduğunu keşfettiler.

Güvenlik analistleri, tespit edilen bu kötü amaçlı örneklerden yalnızca 71 adet Android işletim sistemi yüklenebilen kötü amaçlı örnek bulabildiler ve bu örneklerin hiçbiri şu anda Google Play Store’da mevcut değil.

IoC

Desteklenmeyen bilinmeyen bir sıkıştırma yöntemi kullanan kötü amaçlı uygulamalar: –

  • com.freerdplalobydarkhack.con
  • paket.ad.sonek
  • com.google.android.inputmethod.latia
  • numeric.contents.desktor
  • sağlık.karl.yetki
  • charlie.warning.professional
  • imparatorluk.xi.asia
  • turner.teşvik edilen.eşleşmeler
  • insta.pro.prints
  • com.ace.measures
  • gözler.edinme.el
  • xhtml.peripherals.bs
  • com.google.hizmetler
  • google.clood.sonek
  • arkadaşlar.exec.items
  • com.deveops.frogenet.hizmet
  • com.yc.pfdl
  • tanıtım.inter.brooklyn
  • tutarlı.prior.struck
  • felaket.considering.illinois
  • splash.app.main
  • etiketli.yapılandırma.hizmetleri
  • saygın.editörler.derneği
  • com.appser.verapp
  • wide.sharp.rugs
  • el yapımı.kataloglar.urgent
  • com.gem.tatiller
  • limon.kıta.prens
  • com.koi.tokenerror
  • cmf0.c3b5bm90zq.patch
  • com.ilogen.com
  • one.enix.smsforward
  • com.app.app
  • per.hourly.wiki
  • com.mobihk.v
  • com.gmail.net
  • broadway.ssl.mevsimlik
  • ücretler.abc.laugh
  • tjb0n81d.j9hqk.eg0ekih
  • 9fji8.pgzckbu7.nuputk
  • bullet.default.to
  • factor.apnic.constitutes

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link