Wprowadzenie do problemu / definicja
APK malformation to technika wykorzystywana przez twórców złośliwego systemu na Androida, polegająca na celowym uszkadzaniu lub modyfikowaniu struktury pakietu APK. Ponieważ plik APK jest w praktyce archiwum ZIP, cyberprzestępcy mogą wykorzystać niejednoznaczności formatu oraz różnice w sposobie jego interpretacji przez system Android i narzędzia analityczne.
W efekcie aplikacja może przez cały czas zostać zainstalowana lub uruchomiona na urządzeniu ofiary, a jednocześnie sprawiać problemy podczas analizy statycznej, dekompilacji lub pracy w sandboxie. To oznacza, iż część systemów bezpieczeństwa może błędnie uznać próbkę za uszkodzoną, niekompletną albo niegroźną.
W skrócie
Nowa fala mobilnego malware coraz częściej wykorzystuje deformowanie plików APK jako mechanizm antyanalizy. Celem nie jest wyłącznie ukrycie kodu, ale także zakłócenie działania narzędzi bezpieczeństwa, które muszą poprawnie rozpakować i odczytać pakiet, aby wykryć zagrożenie.
- technika była obserwowana w tysiącach próbek malware,
- wiązano ją z rodzinami takimi jak TeaBot, TrickMo, SpyNote i Godfather,
- atakujący modyfikują strukturę ZIP, manifest i zasoby aplikacji,
- odpowiedzią badaczy jest narzędzie MalFixer do wykrywania i naprawy zmanipulowanych pakietów.
Kontekst / historia
Nadużycia związane z formatami opartymi na ZIP nie są nowym zjawiskiem. Od lat wiadomo, iż nietypowe lub celowo uszkodzone archiwa mogą utrudniać inspekcję, zaciemniać zawartość i wpływać na skuteczność silników bezpieczeństwa. W ekosystemie Androida problem zyskał jednak szczególne znaczenie wraz z rozwojem trojanów bankowych, spyware i innych rodzin malware nastawionych na długotrwałe unikanie detekcji.
To naturalna ewolucja technik ukrywania zagrożeń. Zamiast ograniczać się do obfuskacji kodu, operatorzy kampanii ingerują w sam kontener aplikacji. jeżeli parser lub dekompilator nie jest w stanie prawidłowo otworzyć pakietu, złośliwy ładunek może pozostać poza zasięgiem części automatycznych pipeline’ów analitycznych.
Analiza techniczna
Technicznie APK zawiera między innymi plik manifestu, zasoby, biblioteki natywne oraz pliki DEX z kodem wykonywalnym. W przypadku APK malformation atakujący tak modyfikują te elementy, aby Android przez cały czas akceptował pakiet, ale narzędzia bezpieczeństwa napotykały błędy parsowania lub ekstrakcji.
Najczęstsze techniki obejmują manipulację wpisami w lokalnym i centralnym katalogu ZIP, deformowanie pliku AndroidManifest.xml, używanie nietypowych nazw plików, ukrywanie ładunków w assetach powodujących błędy podczas rozpakowywania oraz tworzenie pakietów kompatybilnych z instalacją na urządzeniu, ale niezgodnych z popularnymi narzędziami do analizy.
Kluczowym elementem jest różnica między tolerancją środowiska wykonawczego a rygorystycznym zachowaniem parserów bezpieczeństwa. Android może zaakceptować pewne niespójności strukturalne, które dla narzędzia analitycznego będą krytycznym błędem. Z perspektywy obrońcy oznacza to, iż próbka może wyglądać na wadliwą, mimo iż w praktyce pozostaje w pełni funkcjonalnym nośnikiem malware.
W odpowiedzi na ten problem powstał MalFixer, czyli zestaw narzędzi służących do inspekcji i odzyskiwania zdeformowanych plików APK. Rozwiązanie wspiera naprawę struktury archiwum, rekonstrukcję manifestu, sanitizację problematycznych zasobów oraz ponowne przygotowanie pakietu do standardowej analizy.
Konsekwencje / ryzyko
APK malformation zwiększa skuteczność obchodzenia detekcji na kilku poziomach. Po pierwsze, wydłuża czas potrzebny analitykom SOC, CERT i zespołom threat intelligence na potwierdzenie charakteru próbki. Po drugie, może obniżać efektywność automatycznych mechanizmów skanowania, które zakładają poprawne rozpakowanie i dekodowanie pakietu. Po trzecie, podnosi koszt operacyjny analizy incydentu, ponieważ wymaga narzędzi specjalistycznych i dodatkowej pracy manualnej.
Szczególnie groźne jest to w przypadku bankerów i spyware, gdzie liczy się każda godzina pozostawania poza zasięgiem detekcji. jeżeli złośliwa aplikacja zostanie zaklasyfikowana jako plik uszkodzony lub nieanalizowalny, atakujący zyskuje czas na kradzież danych, utrzymanie dostępu i dalsze rozprzestrzenianie infekcji.
Rekomendacje
Organizacje powinny traktować nietypowo zdeformowane pakiety APK jako potencjalny sygnał złośliwej aktywności, a nie wyłącznie jako problem techniczny. W praktyce warto rozszerzyć procesy analityczne o dodatkowe kontrole integralności i procedury obsługi błędnych pakietów.
- wdrożyć walidację integralności i struktury ZIP w pipeline analizy mobilnych aplikacji,
- wykrywać anomalie w AndroidManifest.xml, nazwach plików i relacjach między wpisami archiwum,
- stosować alternatywne narzędzia do ekstrakcji i dekodowania, gdy standardowe parsery zawodzą,
- wprowadzić ręczną analizę próbek oznaczonych jako uszkodzone lub nieczytelne,
- testować silniki detekcyjne na pakietach z celowo naruszoną strukturą,
- ograniczać instalację aplikacji spoza zaufanych źródeł,
- egzekwować polityki MDM i MAM w środowiskach firmowych,
- monitorować kampanie malware mobilnego powiązane z rodzinami znanymi z technik antyanalizy.
Dla producentów rozwiązań bezpieczeństwa ważne jest także, aby błąd parsera nie kończył automatycznie procesu klasyfikacji. Tego typu przypadki powinny być oznaczane jako podwyższone ryzyko i kierowane do dalszej inspekcji.
Podsumowanie
APK malformation pokazuje, iż współczesny malware mobilny rozwija się nie tylko przez dodawanie nowych funkcji, ale również przez celowe osłabianie narzędzi obronnych. Deformowanie struktury pakietu APK utrudnia analizę, zwiększa szanse na uniknięcie wykrycia i wymusza na zespołach bezpieczeństwa modernizację metod pracy.
Dla organizacji oznacza to potrzebę traktowania anomalii strukturalnych jako pełnoprawnej techniki obejścia zabezpieczeń. W środowisku, w którym mobilne zagrożenia stale rosną, odporność narzędzi analitycznych na zmanipulowane pakiety staje się równie ważna jak same mechanizmy detekcji złośliwego kodu.
Źródła
- https://www.infosecurity-magazine.com/news/malicious-app-bypass-android/
- https://github.com/Cleafy/Malfixer
- https://threat.cstromblad.com/dashboard
- https://www.virusbulletin.com/virusbulletin/2015/03/paper-leaving-our-zip-undone-how-abuse-zip-deliver-malware-apps/
