VirusTotal muestra que APK contiene Exploit y Trojan, ¿qué tan confiables son esas banderas?

Navega tus respuestas
2

Descubrí que la apk de algún cliente desencadena varias marcas rojas durante el análisis de VirusTotal:

enlace

Exploit.Linux.agz, TROJ_GE.521F1419, TROJ_GEN.F04JC00IA17

Parece bastante serio. Pero, ¿cómo interpreto esos resultados? ¿Cuán serios y confiables son?

    
pregunta vmg 09.10.2017 - 18:49
fuente

2 respuestas

4

Koodous (un escáner de AV móvil basado en la nube) no hace un análisis de este APK en particular - enlace p>

pero si observa los atributos del sujeto y del emisor para el certificado de Android, esta aplicación maliciosa es similar (contiene la cadena rtt ) a otras que se han analizado - enlace - (VirusTotal para este segundo aquí - enlace )

Este análisis muestra claramente que 8 de los 97 APK analizados por Koodous con el mismo certificado también contienen adware / malware: enlace

Si observa la sección Cadenas interesantes para el APK que ejecutó a través de VirusTotal - - verá http://api.share2w.com/stat/adrequest , que es un dominio malicioso y URL .

Como la otra respuesta elude a (y en la misma sección de detalles descrita en el último párrafo), el APK contiene uno o más ejecutables de Linux. En la situación de su APK, al menos uno de los binarios que incluye se encontró en el sistema de archivos como /r/m/su.png , que es el binario su utilizado para Linux / Anroid escalada de privilegios. No tengo idea de por qué esto se convirtió en Google Play Store, pero el APK también está disponible en la tienda de aplicaciones AppChina / mercado de aplicaciones.

Además del binario su, el APK también contiene el siguiente código sospechoso / malicioso: 

private void a(File object, InputStream inputStream, String string2) throws IOException, InterruptedException {
    int n2;
    if (!object.getParentFile().exists()) {
        object.getParentFile().mkdirs();
    }
    String string3 = object.getAbsolutePath();
    object = new FileOutputStream((File)object);
    byte[] arrby = new byte[1024];
    while ((n2 = inputStream.read(arrby)) > 0) {
        object.write(arrby, 0, n2);
    }
    object.close();
    inputStream.close();
    Runtime.getRuntime().exec("chmod " + string2 + " " + string3).waitFor();
}

Probablemente también contiene otra lógica maliciosa, pero son suficientes para concluir que la APK es, de hecho, algún tipo de adware / malware.

    
respondido por el atdre 09.10.2017 - 23:10
fuente
1

3/62 es una puntuación bastante buena incluso con Kaspersky, Bitdefender, Sophos, Symantech & Dr.Web allí. Pero estoy bastante seguro de que no están diseñados para escanear con firmas móviles, intente usar un escáner de AV basado en Android para despejar las nubes.

  

La aplicación puede marcarse como troyano ya que contiene uno o más Linux   ejecutable.

    
respondido por el Vinod Srivastav 09.10.2017 - 21:25
fuente

Lea otras preguntas en las etiquetas

¿Puedo buscar la dirección de correo electrónico de una huella digital PGP / GPG? ¿Cómo detectar el escaneo de puertos en SIEM dentro de LAN o la misma red?