1. Общая информация об APK-файлах
2. Разбор вредоноса
2.1 Утилиты для разбора
2.2 Разбор
1. Информация об APK-файлах
Для того, чтобы лучше понять особенности исследования вредоносных программ под Android необходимо сначала разобраться с тем, что такое APK-файлы. Если вам это уже известно, то можете сразу переходить ко второй части.
Программы под Android распространяются в архивах. Эти архивы имеют расширение ".apk". Такие файлы не шифруются и являются совместимыми с форматом «zip», фактически являясь его подмножеством.
Так как пользовательские приложения для Android выполняются в java-машине, то APK-файлы наследуют все характерные черты JAR-файлов.
Содержимое архива обычно выглядит примерно так:
Каталог META-INF содержит:
CERT.RSA — сертификат приложения
CERT.SF — контрольные суммы файлов ресурсов (картинок, звуков и т.д.)
MANIFEST.MF — служебная информация, описывающая сам apk-файл
Каталог res содержит ресурсы — иконки в нескольких разрешениеях, описание размещения элементов на форме в xml-файле.
AndroidManifest.xml — служебная информация о приложении (версия SDK, которым приложение создавалось, версию ОС под которой приложение будет работать и т.д.). В этом файле содержатся и так называемые «permission» — разрешения, которые требуются для работы приложения (например, доступ к сети или доступ к телефонной книге).
classes.dex — исполняемый код приложения. Именно этот файл интересует нас в первую очередь
resources.arsc — таблица ресурсов. В этом файле собраны xml-описания всех ресурсов
Вот и вся краткая информация, которую нужно знать, приступая к разбору вредоносных программ под Android.
2. Разбор вредоноса
В качестве примера мы выбрали экземпляр, который детектируется разными антивирусами как:
Trojan-Spy.AndroidOS.Zbot.a
Android.Smssniffer
Android/SpySMS
AndroidOS_SMSREP.B
Read more: Habrahabr.ru
QR:
Posts
