GodFather — многоступенчатый дроппер для Android 13: упаковка и обход ограничений

Вредоносное ПО GodFather представляет собой сложный многоступенчатый дроппер, предназначенный для распространения более продвинутых вариантов самого себя. По данным Zimperium, первая фиксация семейства датирована июнем. Анализ показывает, что авторами заложена продуманная стратегия упаковки и сокрытия, благодаря которой зловред продолжает функционировать на устройствах Android и одновременно заметно усложняет обратную инженерию и статический анализ.

Основные характеристики и цели

• Платформа: Android 13 (уровень API 33).
• Идентификатор: пакет com.metaprescutal.systematist.
• Тип: многоступенчатый dropper, динамически загружающий и расшифровывающий DEX-модули.
• Ключевые разрешения: REQUEST_INSTALL_PACKAGES, QUERY_ALL_PACKAGES — позволяют запрашивать установку дополнительных APK и видеть все установленные приложения соответственно.
• Цели злоумышленников: скрытная доставка и установка дополнительных модулей, обход ограничений Android 13 на side-loading и получение привилегированных доступов (special access, Notification Listener и др.).

Как работает дроппер: этапы исполнения

Структура и поведение GodFather можно описать как последовательность четко разделённых этапов:

• Этап 0 — упаковка и маскировка: в ресурсах приложения внедрён ZIP-архив, защищённый паролем. Это преднамеренная тактика: типичные Android-инструменты и статические анализаторы затрудняются при обработке зашифрованных/запароленных бинарников ядра.
• Этап 1 — загрузчик: dropper извлекает ресурс с именем bhgdtczzkbjacwee из папки assets и запускает двухэтапную процедуру расшифровки. Сначала данные распаковываются (алгоритм DEFLATE), затем применяется стандарт шифрования данных DES с жестко закодированным ключом — в результате формируются исполняемые DEX-файлы.
• Этап 2 — динамическая загрузка и исполнение: полученные DEX-файлы динамически загружаются во время выполнения и содержат основной вредоносный функционал. Для скрытия строк и имён файлов злоумышленники используют кастомную XOR-функцию расшифровки, а также вставляют «мёртвый» код (строки/фрагменты, которые никогда не выполняются), чтобы усложнить анализ.
• Этап 3 — расширение возможностей: после успешной загрузки модулей dropper запрашивает расширенные разрешения и может скачивать/устанавливать дополнительные APK, эскалируя воздействие на устройство.

Методы обхода защиты и сокрытия намерений

GodFather использует несколько согласованных техник для повышения живучести и уклонения от детектирования:

• Упаковка ресурсов паролем и включение зашифрованных/сжатых DEX-файлов — мешает статическому анализу и автоматическим сканерам.
• Использование XOR-шифрования строк и жестко закодированных ключей для DES — усложняет обнаружение критических идентификаторов и алгоритмов.
• Вставка неиспользуемого кода — увеличивает шум и вводит анализаторов в заблуждение.
• Злоупотребление разрешениями REQUEST_INSTALL_PACKAGES и QUERY_ALL_PACKAGES для обхода ограничений конфиденциальности Android 13.
• Маскировка под безопасные приложения: вредоносный код содержит турецкие строки и имитирует внешний вид/поведение турецких платформ загрузки музыки — это направлено на обман пользователей и на ослабление подозрительности со стороны средств безопасности.
• Обход ограничений side-loading: dropper реализует механизмы, позволяющие sideloaded-приложению запрашивать критические системные права (например, специальные возможности — accessibility и доступ к Notification Listener), которые обычно ограничены для приложений, установленных не из официального источника.

По данным Zimperium: «вредоносное ПО использует стратегическую технику упаковки, направленную на то, чтобы избежать обнаружения и одновременно скрыть свои злонамеренные намерения».

Последствия компрометации

Успешная инсталляция и исполнение GodFather на устройстве открывает атакующим широкий набор возможностей: скрытная установка дополнительных APK, сбор информации о всех установленных приложениях, получение привилегированных доступов (например, специальных возможностей и прослушивателя уведомлений), а также скрытая работа под видом легитимного приложения. Это повышает риск кражи данных, перехвата уведомлений и последующего распространения вредоносных модулей.

Рекомендации для пользователей и администраторов

• Не устанавливайте приложения из ненадёжных источников. Отключите установку из «Unknown sources» для подавляющего большинства устройств.
• Проверяйте запрашиваемые разрешения: подозрительно, когда приложение без явной причины требует REQUEST_INSTALL_PACKAGES или QUERY_ALL_PACKAGES.
• Следите за необычным поведением устройства: всплывающие окна установки, неожиданные запросы специальных прав, повышенная сетевая активность.
• Используйте мобильные решения безопасности с поведенческим анализом и возможностью анализа динамически загружаемого кода.
• Обновляйте ОС и приложения — в том числе патчи безопасности Android, которые закрывают векторы эскалации и уязвимости.
• При подозрении на компрометацию деинсталлируйте подозрительное приложение (com.metaprescutal.systematist) и при необходимости восстановите устройство из надёжной резервной копии или выполните сброс к заводским настройкам.
• Сообщайте о инцидентах соответствующим CERT/вендорам безопасности для оперативного реагирования.

Вывод

GodFather — пример того, как современные Android-дропперы эволюционируют в сторону многоступенчатых, динамически загружаемых архитектур с продвинутыми техниками упаковки и маскировки. С учётом сочетания шифрования, динамической загрузки DEX и социальной маскировки под легитимные сервисы, этот образец представляет серьёзную угрозу. Практики осторожной установки приложений, мониторинга разрешений и использование специализированных средств защиты остаются ключевыми барьерами на пути распространения подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.