Dex & Nexus анализ

В статье подробно‏ описываются технические аспекты борьбы с‏ конкретным банковским‏ трояном‏ для Android, а‏ также более‏ широкие темы анализа вредоносных‏ программ,‏ такие как‏ использование методов‏ обфускации и доступных инструментов для‏ противодействия‏ этим методам

📌Механизм‏ обфускации: банковский троян‏ Nexus использует механизм обфускации строк‏ в‏ коде‏ своего приложения.‏ Это усложняет‏ анализ и‏ понимание‏ функциональности приложения.

📌Инструменты‏ анализа: упоминается использование как ручного‏ декодирования, так‏ и‏ платных инструментов, таких‏ как JEB‏ Decompiler, для идентификации и‏ исправления‏ запутанного кода.

📌Проверка‏ байт-кода Dalvik: в‏ данном примере рассматривается модификация методов‏ обфускации‏ путем проверки‏ байт-кода Dalvik,‏ который является частью файлов DEX‏ в‏ приложениях‏ Android.

📌 dexmod: инструмент‏ под названием‏ dexmod, разработанный‏ для‏ помощи в‏ исправлении байт-кода Dalvik, который иллюстрирует,‏ как файлы‏ DEX‏ могут быть изменены‏ для упрощения‏ анализа приложений Android.

📌Права доступа:‏ Анализ‏ файла AndroidManifest.xml‏ показывает, что‏ троян запрашивает доступ к конфиденциальной‏ информации,‏ такой как‏ SMS-сообщения, контакты‏ и телефонные звонки.

📌Методы обфускации и‏ патч:‏ Специальные‏ методы, такие‏ как bleakperfect‏ () содержат‏ мертвый‏ код и‏ обсуждается исправление этих методов для‏ удаления избыточного‏ кода‏ и упрощения анализа.

📌Структура‏ файла DEX: представлена‏ информация о структуре файлов‏ DEX,‏ включая такие‏ разделы, как‏ заголовки, таблицы строк, определения классов‏ и‏ код метода;‏ объясняется, как‏ классы и методы определяются и‏ на‏ которые‏ ссылаются в‏ этих файлах.

📌Обновление‏ контрольной суммы‏ и‏ подписи: подчеркивается необходимость‏ обновления значений контрольной суммы и‏ подписи SHA-1‏ в‏ заголовке файла DEX‏ для обеспечения‏ проверки содержимого.