Ducex — сложный упаковщик для Android, способствующий скрытности Triada
В современных условиях борьбы с вредоносным ПО все более изощрённые средства маскировки и обхода систем обнаружения представляют серьёзную угрозу. Новейшее исследование выявило упаковщик Ducex — сложный инструмент для Android, тесно связанный с известным семейством вредоносных программ Triada. Его основная задача — зашифровать и скрыть полезную нагрузку, усложняя анализ и предотвращая отладку.
Основные особенности Ducex
Пакет Ducex задуман как усовершенствованный упаковщик, который внедряется в приложения с целью маскировки вредоносного кода. Среди ключевых методов, обеспечивающих его эффективность:
- Простой алгоритм исключения (XOR) — используется для шифрования всех строк с помощью изменяющегося 16-байтового ключа, что затрудняет попытки понимания кода и обхода защиты;
- Проверка подписи APK — реализована таким образом, что при повторном подписывании вредоносного ПО верификация завершается с ошибкой, что значительно усложняет традиционные методы отладки;
- Само-отладка с использованием fork и ptrace — дополнительные способы запутывания анализа, применяемые на ранних этапах запуска;
- Хранение полезной нагрузки в уникальном пользовательском файле classes.dex, отдельно от основного кода, что помогает избежать обнаружения внешними средствами;
- Использование собственной библиотеки «libducex», которая внутри себя содержит ключевые методы и структуры классов, отвечающие за запуск и управление вредоносной логикой.
Технические детали и методы расшифровки
Интересно, что Ducex не шифрует всю полезную нагрузку целиком. Шифровке подвергаются только первые 2048 байт каждого модуля, что позволяет сохранять целостность заголовков DEX-модулей и обеспечивает корректное выполнение кода после расшифровки.
Для дешифровки используются два криптографических алгоритма:
- модифицированная версия RC4, распространённого потокового шифра;
- и менее известный китайский стандарт шифрования — SM4.
Первичная расшифровка осуществляется через встроенные методы, где запускается основная логика расшифровки, что в итоге приводит к активации вредоносной полезной нагрузки Triada.
Исследования и анализ вредоносного приложения
Расследование поддельного Telegram-приложения, встроенного в Ducex, позволило специалистам выявить ряд знакомых доменов, связанных с Triada, и подтвердить тесную связь между упаковщиком и семейством вредоносных программ. Анализ с помощью Android-декомпиляторов выявил класс com.m.a.DuceApplication, который инициализируется сразу после запуска приложения, активируя методы, обеспечивающие исполнение вредоносной логики.
Дополнительная логика реализуется через модуль CoreUtils, позволяя загружать и выполнять дополнительные функции без вмешательства со стороны антивирусных решений.
Заключение
Ducex представляет собой серьёзный вызов для исследователей безопасности и разработчиков антивирусного ПО. Благодаря сочетанию нестандартных методов шифрования, само-отладки и тонкой структуры полезной нагрузки, этот упаковщик значительно усложняет идентификацию и нейтрализацию Triada и подобных угроз.
Внимательное изучение и мониторинг подобных инструментов крайне важны для своевременного обнаружения и предотвращения распространения вредоносных программ в экосистеме Android.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ Ducex: сложный упаковщик вредоносного ПО Triada для Android".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.