Dex & Nexus

The ‎article details‏ ‎technical ‎aspects ‎of ‎dealing ‎with‏ ‎a ‎specific‏ ‎Android‏ ‎banking ‎trojan, ‎also‏ ‎broader ‎themes‏ ‎in ‎malware ‎analysis, ‎such‏ ‎as‏ ‎the ‎use‏ ‎of ‎obfuscation‏ ‎techniques ‎and ‎the ‎tools ‎available‏ ‎to‏ ‎counteract ‎these‏ ‎methods

📌String ‎Obfuscation‏ ‎Mechanism: ‎The ‎Nexus ‎banking ‎trojan‏ ‎uses‏ ‎a‏ ‎string ‎obfuscation‏ ‎mechanism ‎extensively‏ ‎throughout ‎its‏ ‎application‏ ‎code. ‎This‏ ‎complicates ‎the ‎analysis ‎and ‎understanding‏ ‎of ‎the‏ ‎application’s‏ ‎functionality.

📌Analysis ‎Tools: ‎The‏ ‎analysis ‎mentions‏ ‎the ‎use ‎of ‎both‏ ‎manual‏ ‎decoding ‎and‏ ‎paid ‎tools‏ ‎like ‎the ‎JEB ‎Decompiler ‎for‏ ‎identifying‏ ‎and ‎patching‏ ‎the ‎obfuscated‏ ‎code.

📌Dalvik ‎Bytecode ‎Inspection: The ‎case ‎study‏ ‎explores‏ ‎modifying‏ ‎the ‎obfuscated‏ ‎methods ‎by‏ ‎inspecting ‎the‏ ‎Dalvik‏ ‎bytecode, ‎which‏ ‎is ‎part ‎of ‎the ‎DEX‏ ‎files ‎in‏ ‎Android‏ ‎applications.

📌Tool ‎Release ‎—‏ ‎dexmod: a ‎tool‏ ‎called ‎dexmod, ‎developed ‎to‏ ‎assist‏ ‎in ‎the‏ ‎patching ‎of‏ ‎Dalvik ‎bytecode ‎that ‎exemplifies ‎how‏ ‎DEX‏ ‎files ‎can‏ ‎be ‎modified‏ ‎to ‎simplify ‎the ‎analysis ‎of‏ ‎Android‏ ‎applications.

📌Application‏ ‎Permissions: The ‎analysis‏ ‎of ‎the‏ ‎AndroidManifest.xml ‎file‏ ‎reveals‏ ‎that ‎the‏ ‎trojan ‎requests ‎access ‎to ‎sensitive‏ ‎information ‎such‏ ‎as‏ ‎SMS ‎messages, ‎contacts,‏ ‎and ‎phone‏ ‎calls.

📌Obfuscated ‎Methods ‎and ‎Patching:‏ ‎Specific‏ ‎methods ‎like‏ ‎bleakperfect ‎()‏ ‎are ‎highlighted ‎for ‎containing ‎dead‏ ‎code‏ ‎and ‎for‏ ‎their ‎role‏ ‎in ‎decoding ‎strings ‎using ‎XOR‏ ‎operations.‏ ‎The‏ ‎article ‎discusses‏ ‎patching ‎these‏ ‎methods ‎to‏ ‎remove‏ ‎redundant ‎code‏ ‎and ‎simplify ‎the ‎analysis.

📌DEX ‎File‏ ‎Structure: ‎The‏ ‎case‏ ‎study ‎provides ‎insights‏ ‎into ‎the‏ ‎structure ‎of ‎DEX ‎files,‏ ‎including‏ ‎sections ‎like‏ ‎headers, ‎string‏ ‎tables, ‎class ‎definitions, ‎and ‎method‏ ‎code.‏ ‎It ‎explains‏ ‎how ‎classes‏ ‎and ‎methods ‎are ‎defined ‎and‏ ‎referenced‏ ‎within‏ ‎these ‎files.

📌Checksum‏ ‎and ‎Signature‏ ‎Updates: ‎The‏ ‎necessity‏ ‎of ‎updating‏ ‎checksum ‎and ‎SHA-1 ‎signature ‎values‏ ‎in ‎the‏ ‎DEX‏ ‎file’s ‎header ‎to‏ ‎ensure ‎content‏ ‎verification ‎is ‎emphasized.

Свернуть

#news #Dex #nexus

Хроники кибер-безопасника

Dex & Nexus анализ

В ‎статье подробно‏ ‎описываются ‎технические ‎аспекты ‎борьбы ‎с‏ ‎конкретным ‎банковским‏ ‎трояном‏ ‎для ‎Android, ‎а‏ ‎также ‎более‏ ‎широкие ‎темы ‎анализа ‎вредоносных‏ ‎программ,‏ ‎такие ‎как‏ ‎использование ‎методов‏ ‎обфускации ‎и ‎доступных ‎инструментов ‎для‏ ‎противодействия‏ ‎этим ‎методам

📌Механизм‏ ‎обфускации: банковский ‎троян‏ ‎Nexus ‎использует ‎механизм ‎обфускации ‎строк‏ ‎в‏ ‎коде‏ ‎своего ‎приложения.‏ ‎Это ‎усложняет‏ ‎анализ ‎и‏ ‎понимание‏ ‎функциональности ‎приложения.

📌Инструменты‏ ‎анализа: ‎упоминается ‎использование ‎как ‎ручного‏ ‎декодирования, ‎так‏ ‎и‏ ‎платных ‎инструментов, ‎таких‏ ‎как ‎JEB‏ ‎Decompiler, ‎для ‎идентификации ‎и‏ ‎исправления‏ ‎запутанного ‎кода.

📌Проверка‏ ‎байт-кода ‎Dalvik: в‏ ‎данном ‎примере ‎рассматривается ‎модификация ‎методов‏ ‎обфускации‏ ‎путем ‎проверки‏ ‎байт-кода ‎Dalvik,‏ ‎который ‎является ‎частью ‎файлов ‎DEX‏ ‎в‏ ‎приложениях‏ ‎Android.

📌 dexmod: ‎инструмент‏ ‎под ‎названием‏ ‎dexmod, ‎разработанный‏ ‎для‏ ‎помощи ‎в‏ ‎исправлении ‎байт-кода ‎Dalvik, ‎который ‎иллюстрирует,‏ ‎как ‎файлы‏ ‎DEX‏ ‎могут ‎быть ‎изменены‏ ‎для ‎упрощения‏ ‎анализа ‎приложений ‎Android.

📌Права ‎доступа:‏ ‎Анализ‏ ‎файла ‎AndroidManifest.xml‏ ‎показывает, ‎что‏ ‎троян ‎запрашивает ‎доступ ‎к ‎конфиденциальной‏ ‎информации,‏ ‎такой ‎как‏ ‎SMS-сообщения, ‎контакты‏ ‎и ‎телефонные ‎звонки.

📌Методы ‎обфускации ‎и‏ ‎патч:‏ ‎Специальные‏ ‎методы, ‎такие‏ ‎как ‎bleakperfect‏ ‎() ‎содержат‏ ‎мертвый‏ ‎код ‎и‏ ‎обсуждается ‎исправление ‎этих ‎методов ‎для‏ ‎удаления ‎избыточного‏ ‎кода‏ ‎и ‎упрощения ‎анализа.

📌Структура‏ ‎файла ‎DEX: представлена‏ ‎информация ‎о ‎структуре ‎файлов‏ ‎DEX,‏ ‎включая ‎такие‏ ‎разделы, ‎как‏ ‎заголовки, ‎таблицы ‎строк, ‎определения ‎классов‏ ‎и‏ ‎код ‎метода;‏ ‎объясняется, ‎как‏ ‎классы ‎и ‎методы ‎определяются ‎и‏ ‎на‏ ‎которые‏ ‎ссылаются ‎в‏ ‎этих ‎файлах.

📌Обновление‏ ‎контрольной ‎суммы‏ ‎и‏ ‎подписи: подчеркивается ‎необходимость‏ ‎обновления ‎значений ‎контрольной ‎суммы ‎и‏ ‎подписи ‎SHA-1‏ ‎в‏ ‎заголовке ‎файла ‎DEX‏ ‎для ‎обеспечения‏ ‎проверки ‎содержимого.

Свернуть

#новости #Dex #nexus

Единоразовый платёж

Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)

При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)

При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Контакты

Поделиться

Dex & Nexus

Dex & Nexus анализ

Здесь будут примеры публикаций.

Постов для отображения нет

Обновления проекта

Контакты

Поделиться

Фильтры

Подарить подписку

Единоразовый платёж

Regular Reader 1 500₽ месяц 16 200₽ год (-10%) При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Pro Reader 3 000₽ месяц 30 600₽ год (-15%) При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Контакты

Поделиться

Dex & Nexus

Dex & Nexus анализ

Здесь будут примеры публикаций.

Постов для отображения нет

Обновления проекта

Контакты

Поделиться

Метки

Фильтры

Подарить подписку

Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)

При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)

При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security