Анализ Ducex: сложный упаковщик вредоносного ПО Triada для Android

Ducex — сложный упаковщик для Android, способствующий скрытности Triada

В современных условиях борьбы с вредоносным ПО все более изощрённые средства маскировки и обхода систем обнаружения представляют серьёзную угрозу. Новейшее исследование выявило упаковщик Ducex — сложный инструмент для Android, тесно связанный с известным семейством вредоносных программ Triada. Его основная задача — зашифровать и скрыть полезную нагрузку, усложняя анализ и предотвращая отладку.

Основные особенности Ducex

Пакет Ducex задуман как усовершенствованный упаковщик, который внедряется в приложения с целью маскировки вредоносного кода. Среди ключевых методов, обеспечивающих его эффективность:

• Простой алгоритм исключения (XOR) — используется для шифрования всех строк с помощью изменяющегося 16-байтового ключа, что затрудняет попытки понимания кода и обхода защиты;
• Проверка подписи APK — реализована таким образом, что при повторном подписывании вредоносного ПО верификация завершается с ошибкой, что значительно усложняет традиционные методы отладки;
• Само-отладка с использованием fork и ptrace — дополнительные способы запутывания анализа, применяемые на ранних этапах запуска;
• Хранение полезной нагрузки в уникальном пользовательском файле classes.dex, отдельно от основного кода, что помогает избежать обнаружения внешними средствами;
• Использование собственной библиотеки «libducex», которая внутри себя содержит ключевые методы и структуры классов, отвечающие за запуск и управление вредоносной логикой.

Технические детали и методы расшифровки

Интересно, что Ducex не шифрует всю полезную нагрузку целиком. Шифровке подвергаются только первые 2048 байт каждого модуля, что позволяет сохранять целостность заголовков DEX-модулей и обеспечивает корректное выполнение кода после расшифровки.

Для дешифровки используются два криптографических алгоритма:

• модифицированная версия RC4, распространённого потокового шифра;
• и менее известный китайский стандарт шифрования — SM4.

Первичная расшифровка осуществляется через встроенные методы, где запускается основная логика расшифровки, что в итоге приводит к активации вредоносной полезной нагрузки Triada.

Исследования и анализ вредоносного приложения

Расследование поддельного Telegram-приложения, встроенного в Ducex, позволило специалистам выявить ряд знакомых доменов, связанных с Triada, и подтвердить тесную связь между упаковщиком и семейством вредоносных программ. Анализ с помощью Android-декомпиляторов выявил класс com.m.a.DuceApplication, который инициализируется сразу после запуска приложения, активируя методы, обеспечивающие исполнение вредоносной логики.

Дополнительная логика реализуется через модуль CoreUtils, позволяя загружать и выполнять дополнительные функции без вмешательства со стороны антивирусных решений.

Заключение

Ducex представляет собой серьёзный вызов для исследователей безопасности и разработчиков антивирусного ПО. Благодаря сочетанию нестандартных методов шифрования, само-отладки и тонкой структуры полезной нагрузки, этот упаковщик значительно усложняет идентификацию и нейтрализацию Triada и подобных угроз.

Внимательное изучение и мониторинг подобных инструментов крайне важны для своевременного обнаружения и предотвращения распространения вредоносных программ в экосистеме Android.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.