「BadPack」と呼ばれるAPKファイルのセットが、Androidアプリケーション内のマルウェアを検出しにくくしていることが明らかになった。これらのファイルは、圧縮ファイル形式のヘッダー情報を悪意を持って変更し、Androidのリバースエンジニアリングツールにとって分析が困難になるように設計されている。Palo Alto Networks Unit 42のLee Wei Yeongによる報告書によると、過去1年間にGoogle Playを含むAndroidアプリで約9,200のBadPackサンプルが検出されたが、Googleはこれらをモバイルアプリストアから削除したと述べている。

BadPackは、APKファイルのZIPヘッダーデータを操作し、その内容の分析を阻止しようとする。このため、AndroidManifest.xmlファイルの抽出と解読に失敗し、静的分析プロセス全体にエラーを引き起こす。Androidバンキングトロイの木馬など、多くのマルウェアがBadPackを使用して、検出されずにAndroidデバイスに感染している。

Unit 42は、ヘッダーの変更を逆転させて元のZIP構造ヘッダー値を復元することにより、BadPack APKサンプルを分析する方法を見つけた。また、2022年12月にリリースされたオープンソースツール「APK Inspector」が、BadPackが存在してもAPKコンテンツを正常に抽出し、Androidマニフェストファイルを解読できることが判明し、マルウェアの検出手段を提供している。

Androidユーザーは、広告された機能と一致しない異常な権限を要求するアプリケーションに対して警戒し、第三者ソースからのアプリケーションのインストールを避けることで、マルウェアから自身を守ることが推奨される。

【ニュース解説】

Androidアプリケーション内のマルウェアを検出しにくくする「BadPack」と呼ばれるAPKファイルのセットが、セキュリティ研究者の間で注目を集めています。これらのファイルは、APKファイルのZIPヘッダーデータを悪意を持って変更し、その結果、Androidのリバースエンジニアリングツールでの分析を困難にしています。この技術は、特にAndroidバンキングトロイの木馬などのマルウェアに利用され、これらの悪意あるプログラムが検出されずにAndroidデバイスに感染することを可能にしています。

BadPackによる攻撃の核心は、APKファイル内のAndroidManifest.xmlファイルの抽出と解読を妨げることにあります。このファイルは、アプリケーションの動作や要求する権限など、重要な情報を含んでおり、セキュリティ分析の初期段階でこのファイルを読み取ることが一般的です。しかし、BadPackを使用したAPKファイルでは、ZIPヘッダーの構造が改ざんされているため、このプロセスが妨げられます。

この問題に対処するため、Palo Alto Networks Unit 42の研究者たちは、ヘッダーの変更を逆転させて元のZIP構造ヘッダー値を復元する方法を見つけ出しました。さらに、オープンソースツール「APK Inspector」がBadPackが存在してもAPKコンテンツを正常に抽出し、Androidマニフェストファイルを解読できることが判明しました。これにより、セキュリティ研究者はマルウェアをより効果的に検出できるようになります。

Androidユーザーにとっては、アプリケーションが要求する権限に注意を払い、第三者ソースからのアプリケーションインストールを避けることが、マルウェアから自身を守るための重要な対策となります。特に、広告された機能と一致しない異常な権限を要求するアプリケーションには警戒が必要です。

この技術の発見は、Androidマルウェアの検出と分析における新たな課題を浮き彫りにしていますが、同時に、セキュリティ研究者がこれらの課題に対処するための新しい手法とツールの開発を促進するものでもあります。長期的には、このような研究がAndroidエコシステム全体のセキュリティを強化し、ユーザーを保護するための基盤となることが期待されます。

from 'BadPack' APK Files Make Android Malware Hard to Detect.