El panorama de ciberseguridad continúa evolucionando con variantes de malware cada vez más sofisticadas, y un descubrimiento reciente destaca la amenaza persistente que representa los avanzados Packers Android.
Los investigadores de seguridad han identificado un empacador altamente complejo denominado “Ducex”, que sirve como mecanismo de entrega para el famoso malware de Android Triada.
Esta herramienta desarrollada por los chinos representa un avance significativo en las técnicas de ofuscación de malware móvil, lo que demuestra las longitudes a las que los cibercriminales irán a evadir la detección y el análisis.
El Ducex Packer fue descubierto incrustado dentro de una aplicación de telegrama falsa, mostrando la explotación continua de las plataformas de mensajería populares como vectores de ataque.
A diferencia de los métodos de implementación de malware tradicionales, Ducex emplea un enfoque de múltiples capas que combina el cifrado de funciones, la ofuscación de cadenas y las sofisticadas técnicas anti-análisis.
El objetivo principal del malware se extiende más allá de la simple entrega de carga útil, incorporando medidas extensas para complicar la ingeniería inversa y frustrar a los investigadores de seguridad que intentan comprender su operación.
Any. Analistas identificado La muestra durante el análisis de malware de rutina, reconociendo los patrones de comunicación característicos asociados con la familia Triada.
El descubrimiento surgió de la investigación del equipo sobre aplicaciones sospechosas de Android, donde el Sandbox interactivo marcó rápidamente el comportamiento de red distintivo del malware.
Esquema General Ducex (fuente – Any.run)
Los investigadores señalaron que a pesar de la presencia de nueve años de Triada en el panorama de amenazas desde 2016, esta variante particular demostró niveles de sofisticación sin precedentes en sus mecanismos de embalaje y ofuscación.
El impacto del empacador se extiende más allá de las infecciones individuales, representando una tendencia preocupante hacia una distribución de malware móvil más sofisticada.
Al evadir con éxito los métodos de detección tradicionales y complicar los flujos de trabajo de análisis, DUCEX permite que la carga útil de Triada subyacente establezca la persistencia y ejecute sus operaciones maliciosas.
Este desarrollo plantea desafíos significativos para los equipos de seguridad que dependen de las herramientas de análisis convencionales y destacan la necesidad de capacidades de análisis dinámico avanzado.
Cifrado de función avanzada y mecanismos anti-análisis
El aspecto más llamativo del diseño de Ducex radica en su enfoque integral para el cifrado de funciones y la protección contra el análisis.
El Packer implementa un algoritmo RC4 modificado con mecanismos adicionales de barajamiento, cifrando bloques de funciones completas para evitar el análisis estático.
Classess.dex Structure (Fuente – Any.run)
Este cifrado ocurre a nivel de la biblioteca, específicamente dentro del componente libDucex.so, donde las funciones críticas que incluyen el punto de entrada del programa y Jni_onload permanecen encriptados hasta la ejecución del tiempo de ejecución.
El proceso de descifrado sigue un enfoque sofisticado basado en la configuración, utilizando una estructura que contiene valores mágicos, direcciones de inicio de descifrado, recuentos de bytes, funciones de devolución de llamada y claves de cifrado de 16 bytes.
La implementación se desvía del RC4 estándar a través de la incorporación de operaciones adicionales de barajamiento, que requieren rutinas de descifrado personalizadas en lugar de bibliotecas criptográficas estándar.
def rc4_process (s, encoded_data): i = s (256) j = s (257) output = byteArray (encoded_data) para n en el rango (len (encoded_data)): i = (i + 1) & 0xff a = s (i) j = (j + a) & 0xff b = s (j) s (i), s (j) s ((a + b) y 0xff) para _ en el rango (2): i = (i + 1) y 0xff a = s (i) j = (j + a) y 0xff b = s (j) s (i), s (j) = b, un byteArray de retorno (salida)
Las capacidades anti-análisis del empacador se extienden a mecanismos de detección integrales dirigidos a herramientas de investigación populares, incluidos los marcos de Frida, Xposed y sustratos.
Cuando se detecta cualquiera de estas herramientas en la memoria del sistema, el malware termina inmediatamente la ejecución, bloqueando efectivamente los intentos de análisis dinámico.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
