Bilgisayar korsanları genellikle kötü amaçlı kodları Android uygulamaları içinde gizlemek için APK paketleyicilerini kullanır. Bu, güvenlik programları için kötü amaçlı yazılımları tespit etmeyi ve analiz etmeyi daha zor hale getirecektir.
Bu teknik, kötü amaçlı yazılımın tehlikeye atılan cihazlarda kalıcı ve gizli kalmasını sağlarken, başarılı bir ihlal olasılığını da artırır.
Plaoalto Networks’ün Unit42 adlı siber güvenlik analistleri, kötü amaçlı yazılımların dosya yapısını gizlemek için BadPack APK paketleyicisini kullanan bilgisayar korsanlarını tespit etti.
BadPack APK Kötü Amaçlı Yazılım Wired Hilesi
BadPack APK dosyaları siber güvenliğe yönelik gelişen bir tehdittir, ZIP başlıklarıyla oynanmış Android uygulamalarıdır.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Bu dosyaların tersine mühendislik araçları kullanılarak analiz edilmesi zordur ve BianLian ve Cerberus gibi bankacılık Truva atları bunları sıklıkla kullanır.
APK’larda genellikle hedef alınan kritik dosya AndroidManifest.xml’dir ve bu da statik analizi zorlaştırır.
Gelişmiş WildFire, Haziran 2023 ile Haziran 2024 arasında yaklaşık 9200 BadPack örneği buldu ve bu gelişen kötü amaçlı yazılım tekniğinin yanı sıra tespit tekniklerinin de daha iyi anlaşılması gerektiğini gösterdi.
APK dosyaları, yerel ve merkezi dizin dosyası başlıklarıyla ZIP arşivlerine sıkıştırılır. Bu başlıklar arşivin yapısı ve içeriği hakkında önemli bilgiler içerir.
Unit42 raporunda, BadPack kötü amaçlı yazılım yazarlarının bu formatı istismar etmek için başlık alanlarını bilerek değiştirdikleri, bunun sonucunda da yerel ve merkezi dizin başlıkları arasında uyumsuzluklar oluştuğu belirtiliyor.
Bu, APK içeriklerinin analiz edilmesini veya çıkarılmasını zorlaştırır ve bu da Android cihazda kötü amaçlı bir uygulamanın çalıştırılmasını kolaylaştırır.
Bunun yanında BadPack zararlı yazılımlarını tespit edebilmek için bu başlık yapılarının nasıl oluşturulduğunu ve manipüle edildiğini bilmek gerekir.
BadPack kötü amaçlı yazılımı APK başlıklarını bozar ve sonuç olarak yerel ve merkezi dizin başlıkları arasında farklılıklar yaratır. Bu teknik, farklı analiz araçlarının ve Android çalışma zamanının APK’ları işleme şeklini istismar eder.
Bu durumda Apktool ve Jadx, kurcalandıklarında sıradan dosyaları ayıklıyor, ancak Android kullanan cihazlar bunları kullanabiliyor çünkü çalışma zamanı yalnızca merkezi dizin başlıklarını kontrol ediyor.
Bu tür kötü amaçlı yazılımların yazarları, bu amaca ulaşmak için uyumsuz yöntemleri veya boyutları sıkıştırma yöntemini kullanırlar.
BadPack örneklerini başarılı bir şekilde analiz etmek için bu manipülasyonları anlamak ve tersine çevirmek çok önemlidir; bunu AndroidManifest.xml dosyasının çıkarılması ve gerçek Android cihazlara yüklenmesiyle ilgili deneyler kanıtlamıştır.
BadPack, dize sıkıştırma ve değiştirilmiş başlıklar nedeniyle JAR, Unzip ve Apksigner gibi geleneksel analiz araçlarını test eden kötü amaçlı yazılımlar arasında yer alıyor.
Açık kaynaklı apkInspector aracı, diğer araçların çoğunun aksine, BadPack’ten AndroidManifest.xml dosyalarını başarıyla çıkarma ve çözme yeteneğine sahiptir.
Bu gelişen zorluk, gelişmiş analiz tekniklerine ve araçlarına olan ihtiyacı göstermektedir. Bunu, güvenilmeyen kaynaklardan veya herhangi bir üçüncü taraf kaynaktan bu tür uygulamaların yüklenmesini önleyerek ve garip izinler isteyen uygulamaları reddederek başarabiliriz.
IoC’ler
Aşağıda BadPack kötü amaçlı yazılım örneklerinin SHA256 karma değerleri yer almaktadır:
- 0003445778b525bcb9d86b1651af6760da7a8f54a1d001c355a5d3ad915c94cb
- 015bd2e799049f5e474b80cbbdcd592ce4e2dfbfae183bada86a9b6ec103e25e
- 131135a7c911bd45db8801ca336fc051246280c90ae5dafc33e68499d8514761
- 90c41e52f5ac57b8bd056313063acadc753d44fb97c45c2dc58d4972fe9f9f21
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.