Киберпрестъпниците са измислили нов начин да заблуждават антивирусните програми. През последните

Киберпрестъпниците са измислили нов метод да заблуждават антивирусните стратегии.

През последните години киберпрестъпниците все по-често употребяват зловредни приложения за Android. Според откриватели от Palo Alto Networks една от последните основни закани е новата форма на вируса BadPack.

Зловредният програмен продукт съставлява APK файл, особено опакован с изменени заглавия, което затруднява анализирането и откриването му. Този способ се употребява интензивно и в банковите троянци като BianLian, Cerberus и TeaBot.

Файловете APK са пакети с приложения за Android, които употребяват ZIP формат. Основният файл в тези пакети е AndroidManifest.xml, който съдържа значима информация за приложението. В случая с BadPack този файл има модифицирани заглавия, което не разрешава той да бъде извлечен и оценен.

ZIP форматът включва два съществени вида хедъри: хедъри на локалните файлове и хедъри на файловете от централната папка. Атакуващите могат да трансформират полетата в тези заглавия, с цел да попречат на извличането на наличието на APK файла.

Примери за промени в BadPack:

Посочване на верен способ на компресиране, само че с погрешен размер на компресирания файл. Посочване на погрешен способ на компресиране, когато действителният способ е STORE. Посочване на способ за компресиране единствено в локалното заглавие, когато действителният способ е DEFLATE. Инструменти като 7-Zip, Apktool, Jadx и други не могат вярно да декомпресират и проучват BadPack заради модифицираните заглавия. Наскоро излезлият обществено наличен инструмент apkInspector обаче е в положение да извлече и декодира AndroidManifest.xml даже от такива файлове.

Специалистите от Пало Алто са докладвали своите открития на Гугъл. Според компанията в формалния магазин на Гугъл Play няма приложения с този вирус. Потребителите на Android са предпазени от програмата Гугъл Play Protect, която блокира известните зловредни приложения, даже в случай че са изтеглени от източници на трети страни.

BadPack съставлява сериозна опасност за Android потребителите и усложнява работата на анализаторите по киберсигурност. За да се отбраните, се предлага да употребявате надеждни принадлежности за сигурност и да избягвате инсталирането на приложения от ненадеждни източници.