Ducex packer
Az ANY.RUN sandbox kutatói azonosították a Ducex-t, amely a veszélyes Android trójai, a Triada csomag részeként jelent meg. A Ducex nem csupán egyszerű csomagoló eszköz, natív kódot használ, titkosított függvényekkel és stringekkel dolgozik, debugoló mechanizmust alkalmaz, és képes felismerni, ha elemző környezetben fut – mindez jelentősen nehezíti a visszafejtést.
Elemzés során az derült ki, hogy a packer több lépcsőben működik, először a Triada modul fő funkcióit rejti el, majd egy technikailag kifinomult komplexitást biztosít azzal, hogy futás közben kitakarja a packer nyomait. A natív kód futása mellett a folyamat dinamikusan dekódolja az adatokat. Ez lehetővé teszi, hogy a Triada könnyebben települjön, majd kémtevékenységeket folytasson, például SMS-ek ellopása, kémkedés és további pluginok telepítése.
A Ducex elemzése egyértelműen azt mutatja, hogy a Triada szerzői újabb technikai szintre emelték a packert, az obfuszkációs és önvédelmi taktikai megoldások révén képes hosszabb ideig elkerülni az észlelést és akadályozni a statikus elemzést. A Ducex tehát nem csak a payload egyszerű védelme – ez egy komplett környezet-ellenőrző, adaptív megoldás, amely növeli a Triada fenyegető erejét.
