- Специальный корреспондент
Ducex прячет вредоносы так искусно, что даже антивирус приветствует их как старых друзей.
image
Исследователи обнаружили новый упаковщик Ducex, который скрывает одну из самых опасных мобильных вредоносных программ — троян Triada — с помощью продвинутых методов шифрования и маскировки. Его анализ в интерактивной песочнице ANY.RUN показал , насколько далеко разработчики Android-угроз продвинулись в попытках обойти защиту.
Ducex впервые был замечен в поддельном приложении Telegram. Он сам по себе не считается вредоносным, однако выполняет ключевую задачу — максимально усложняет выявление настоящего трояна. Упаковщик выполняет роль маскировочного слоя, который скрывает вредоносную активность Triada, значительно осложняя работу специалистов по анализу и защите.
Главной особенностью Ducex является его архитектура, основанная на многоуровневом подходе к шифрованию и сокрытию. Для защиты критических функций используется модифицированная реализация RC4 в сочетании с индивидуальной перестановкой байтов. Это делает бесполезными стандартные средства расшифровки. Все строки в коде зашифрованы при помощи последовательного XOR-алгоритма с динамически изменяющимся 16-байтным ключом, что делает статический анализ почти невозможным.
, содержащая Triada, размещена внутри файла classes.dex Ducex в виде нестандартной расширенной секции. Такой приём позволяет избежать подозрений, так как вредоносный код не выделяется как отдельный элемент. Дополнительно шифруются первые 2048 байт модулей dex, что скрывает важные участки кода от исследователей.
Усложняет задачу и управление потоком выполнения — простые функции искусственно перегружаются запутанными циклами и условиями, чтобы отпугнуть от ручного анализа. Также применяется проверка подписи APK-файла, и при её несоответствии приложение принудительно завершает работу. Это означает, что любое вмешательство, включая повторную подпись для анализа, приведёт к сбою.
Ducex способен отслеживать наличие популярных инструментов анализа, таких как Frida, Xposed и Substrate, и немедленно прекращает выполнение при их обнаружении в памяти. Это делает невозможной отладку и динамическое исследование вредоносного поведения.
Особого внимания заслуживает тот факт, что упаковщик применяет сразу два типа шифрования — помимо модифицированного RC4 используется китайский блочный алгоритм SM4. Процесс расшифровки полезной нагрузки разбит на несколько этапов и реализован через нативные функции вроде init() и dl(). Только после этого запускается поддельное приложение Telegram, внутри которого уже начинает действовать троян Triada.
Таким образом, Ducex становится полноценным щитом для Triada, действуя как многоступенчатая система защиты, рассчитанная на срыв даже самых продвинутых попыток анализа. Это подчёркивает, насколько высок уровень технической реализации современных мобильных угроз и насколько важны новые методы противодействия в сфере информационной безопасности.
image
Исследователи обнаружили новый упаковщик Ducex, который скрывает одну из самых опасных мобильных вредоносных программ — троян Triada — с помощью продвинутых методов шифрования и маскировки. Его анализ в интерактивной песочнице ANY.RUN показал , насколько далеко разработчики Android-угроз продвинулись в попытках обойти защиту.
Ducex впервые был замечен в поддельном приложении Telegram. Он сам по себе не считается вредоносным, однако выполняет ключевую задачу — максимально усложняет выявление настоящего трояна. Упаковщик выполняет роль маскировочного слоя, который скрывает вредоносную активность Triada, значительно осложняя работу специалистов по анализу и защите.
Главной особенностью Ducex является его архитектура, основанная на многоуровневом подходе к шифрованию и сокрытию. Для защиты критических функций используется модифицированная реализация RC4 в сочетании с индивидуальной перестановкой байтов. Это делает бесполезными стандартные средства расшифровки. Все строки в коде зашифрованы при помощи последовательного XOR-алгоритма с динамически изменяющимся 16-байтным ключом, что делает статический анализ почти невозможным.
, содержащая Triada, размещена внутри файла classes.dex Ducex в виде нестандартной расширенной секции. Такой приём позволяет избежать подозрений, так как вредоносный код не выделяется как отдельный элемент. Дополнительно шифруются первые 2048 байт модулей dex, что скрывает важные участки кода от исследователей.
Усложняет задачу и управление потоком выполнения — простые функции искусственно перегружаются запутанными циклами и условиями, чтобы отпугнуть от ручного анализа. Также применяется проверка подписи APK-файла, и при её несоответствии приложение принудительно завершает работу. Это означает, что любое вмешательство, включая повторную подпись для анализа, приведёт к сбою.
Ducex способен отслеживать наличие популярных инструментов анализа, таких как Frida, Xposed и Substrate, и немедленно прекращает выполнение при их обнаружении в памяти. Это делает невозможной отладку и динамическое исследование вредоносного поведения.
Особого внимания заслуживает тот факт, что упаковщик применяет сразу два типа шифрования — помимо модифицированного RC4 используется китайский блочный алгоритм SM4. Процесс расшифровки полезной нагрузки разбит на несколько этапов и реализован через нативные функции вроде init() и dl(). Только после этого запускается поддельное приложение Telegram, внутри которого уже начинает действовать троян Triada.
Таким образом, Ducex становится полноценным щитом для Triada, действуя как многоступенчатая система защиты, рассчитанная на срыв даже самых продвинутых попыток анализа. Это подчёркивает, насколько высок уровень технической реализации современных мобильных угроз и насколько важны новые методы противодействия в сфере информационной безопасности.
