Dex & Nexus анализ
В статье подробно описываются технические аспекты борьбы с конкретным банковским трояном для Android, а также более широкие темы анализа вредоносных программ, такие как использование методов обфускации и доступных инструментов для противодействия этим методам
📌Механизм обфускации: банковский троян Nexus использует механизм обфускации строк в коде своего приложения. Это усложняет анализ и понимание функциональности приложения.
📌Инструменты анализа: упоминается использование как ручного декодирования, так и платных инструментов, таких как JEB Decompiler, для идентификации и исправления запутанного кода.
📌Проверка байт-кода Dalvik: в данном примере рассматривается модификация методов обфускации путем проверки байт-кода Dalvik, который является частью файлов DEX в приложениях Android.
📌 dexmod: инструмент под названием dexmod, разработанный для помощи в исправлении байт-кода Dalvik, который иллюстрирует, как файлы DEX могут быть изменены для упрощения анализа приложений Android.
📌Права доступа: Анализ файла AndroidManifest.xml показывает, что троян запрашивает доступ к конфиденциальной информации, такой как SMS-сообщения, контакты и телефонные звонки.
📌Методы обфускации и патч: Специальные методы, такие как bleakperfect () содержат мертвый код и обсуждается исправление этих методов для удаления избыточного кода и упрощения анализа.
📌Структура файла DEX: представлена информация о структуре файлов DEX, включая такие разделы, как заголовки, таблицы строк, определения классов и код метода; объясняется, как классы и методы определяются и на которые ссылаются в этих файлах.
📌Обновление контрольной суммы и подписи: подчеркивается необходимость обновления значений контрольной суммы и подписи SHA-1 в заголовке файла DEX для обеспечения проверки содержимого.
Vkontakte
Twitter
Одноклассники
