【安全资讯】新型安卓恶意软件“BadPack”绕过安全分析工具，研究人员警告

概要：

Palo Alto Networks的Unit 42网络安全研究人员发现了一种新型安卓恶意软件变种，名为“BadPack”。该恶意软件利用复杂的规避技术绕过传统安全分析工具，给安卓设备带来了新的威胁。BadPack的出现标志着针对安卓设备的恶意软件日益复杂化。

主要内容：

Palo Alto Networks的Unit 42团队发现了一种新型安卓恶意软件“BadPack”，该恶意软件通过篡改ZIP头数据来阻碍传统的恶意软件分析工具，如Apktool和Jadx。BadPack的主要特点是通过修改ZIP结构头，使得这些工具难以提取和解码AndroidManifest.xml文件，从而导致分析过程中的一系列错误，最终使得恶意软件难以被完全理解和对抗。

BadPack的攻击策略包括：使用STORE方法时指定错误的压缩大小、在本地文件头中设置压缩方法值但实际有效载荷为DEFLATE等。这些方法利用了分析工具对ZIP规范的严格遵守，而安卓运行系统则较为宽松。研究表明，7-Zip、Apktool和Jadx等工具在处理BadPack APK样本时均遇到了困难，无法正确提取AndroidManifest.xml文件。

然而，apkInspector工具在处理BadPack APK样本时表现出色，能够成功提取和解码AndroidManifest.xml文件。该开源工具于2023年12月发布，提供了对ZIP结构的详细见解，并展示了对篡改压缩方法的抵抗力。随着安卓设备的普及，威胁环境也在扩大，开发创新技术和工具以对抗像BadPack这样的复杂恶意软件变得尤为重要。用户应保持警惕，特别是对于请求异常权限的应用程序，并避免从未经验证的第三方来源安装软件。