Обзор APEX Security — Android Package EXaminer

от автора

Другого подходящего названия в голову не пришло, однако суть и принцип работы ПО, будет ясна всем.

Вообще, идея была — автоматизировать процесс проведения анализа и извлечения всей необходимой информации из вредоносного APK файла. Ряд программ уже существует в компьютерном мире, однако я понял для себя, что нет единого ящика, который бы мог держать в себе все необходимые инструменты и выполнять анализ более качественно и развернуто, ну и, соответственно, работать по цели.

Пробовал указанные программы: APK Analyzer от Google, APK-Inspector (Open Source), JADX (декомпилятор) и т.д. Они все по-своему хороши, но хотелось объединить все их возможности в одно, и добавить уникальности, чтобы можно было рядовому человеку подключить телефон и выполнить проверку и анализ. Ну и, соответственно, какое-то импортозамещение, на случай каких-либо ограничений.

Если коротко, то APEX — программа, которая пригодится всем, кто работает с Android-приложениями: тестировщикам, разработчикам, специалистам по безопасности и просто в случае необходимости проверить свой телефон на активность.

Она позволяет глубоко анализировать APK-файлы и установленные приложения прямо с телефона, без необходимости куда-то их отправлять, также это поможет даже в том случае, если ваши (встроенные или сторонне установленные) антивирусы не задетектили подозрительных или вредоносных приложений.

Обзор APEX Security — Android Package EXaminer

Запуск APEX Security — Android Package EXaminer

Запуск APEX Security — Android Package EXaminer

Запуск программы осуществляется через ярлык на рабочем столе, где после недолгого запуска, открывается окно браузера (который у Вас установлен по умолчанию), где становится доступен интерфейс самой программы.

Простой интерфейс самой программы

Простой интерфейс самой программы

Перед использованием программы, необходимо включить в мобильном телефоне режим «Отладки по USB», так как программа будет взаимодействовать непосредственно с самим телефоном. В левой части интерфейса отобразиться исследуемый телефон, по которому необходимо нажать.

Далее в APEX Security — Android Package EXaminer, отобразятся технические характеристики самого исследуемого устройства, а также список всех установленных приложений APK. Однако в ходе написания ПО я предусмотрел фильтр, который находит только те APK файлы, которые установил сам пользователь телефона (планшета), чтобы не усложнять работу лишними предустановленными производителем приложениями.

Просмотр установленных APK приложений списком.

Просмотр установленных APK приложений списком.

Для удобства просмотра списка приложений, в навигационном меню (в верхней части) есть возможность отобразить APK приложения списком или сеткой.

Просмотр APK приложений, которые были установлены пользователем сеткой.

Просмотр APK приложений, которые были установлены пользователем сеткой.

Далее, если переместиться в меню по APK Файлы, произойдет сканирование папок всего телефона, где могут лежать file.apk, после чего отобразятся их местоположения.

Список вредоносных APK файлов (были загружены мной в целях исследования)

Список вредоносных APK файлов (были загружены мной в целях исследования)

Тут же мы видим установленные на устройстве приложения, которые являются «вредоносными». Это как раз-таки те самые файлы, с помощью которых злоумышленники получают неправомерный доступ к компьютерной информации. Возможно, вы в курсе о таких видах мошенничествах, краж и неправомерного доступа, когда поступают сообщения в различных мессенджерах от якобы знакомого, который просит посмотреть «Не ты ли на фото .apk?»

Далее, при выборе одного из приложений (.apk файла), мы можем провести анализ, где можем увидеть описание функционала вредоносного файла:

Анализ приложения цб33.apk (📦 9.56 MB📄 Не установлен📁 Download)

Анализ приложения цб33.apk (📦 9.56 MB📄 Не установлен📁 Download)
Детальная информация об анализе

Детальная информация об анализе

И в итоге мы можем обнаружить всю техническую информацию о фале, а также получить сведения об IP адресах, которые могут использоваться в качестве сервера. Помимо этого, обнаружен Telegram Token бота, через который выполняется управление вредоносным приложением.

Все результаты проведенного анализа можно получить в виде отчета в PDF формате, где будет также все структурировано, и после использовать его. Помимо этого, есть возможность провести динамический анализ, при котором будет выполнена имитация пользователя в использовании приложения, начиная от установки, тапами по экрану и заканчивая автоудалением.

Всем спасибо за уделенное время, надеюсь, вам поможет данный софт, так же как и мне. Всем удачи и безопасного интернета!

Вообще, проект в принципе готов, но хотел бы учесть ваши мнения, если будут замечания, то буду рад их услышать.

ссылка на оригинал статьи https://habr.com/ru/articles/1054370/