В статье подробно описываются технические аспекты борьбы с конкретным банковским трояном для Android, а также более широкие темы анализа вредоносных программ, такие как использование методов обфускации и доступных инструментов для противодействия этим методам

📌Механизм обфускации: банковский троян Nexus использует механизм обфускации строк в коде своего приложения. Это усложняет анализ и понимание функциональности приложения.

📌Инструменты анализа: упоминается использование как ручного декодирования, так и платных инструментов, таких как JEB Decompiler, для идентификации и исправления запутанного кода.

📌Проверка байт-кода Dalvik: в данном примере рассматривается модификация методов обфускации путем проверки байт-кода Dalvik, который является частью файлов DEX в приложениях Android.

📌 dexmod: инструмент под названием dexmod, разработанный для помощи в исправлении байт-кода Dalvik, который иллюстрирует, как файлы DEX могут быть изменены для упрощения анализа приложений Android.

📌Права доступа: Анализ файла AndroidManifest.xml показывает, что троян запрашивает доступ к конфиденциальной информации, такой как SMS-сообщения, контакты и телефонные звонки.

📌Методы обфускации и патч: Специальные методы, такие как bleakperfect() содержат мертвый код и обсуждается исправление этих методов для удаления избыточного кода и упрощения анализа.

📌Структура файла DEX: представлена информация о структуре файлов DEX, включая такие разделы, как заголовки, таблицы строк, определения классов и код метода; объясняется, как классы и методы определяются и на которые ссылаются в этих файлах.

📌Обновление контрольной суммы и подписи: подчеркивается необходимость обновления значений контрольной суммы и подписи SHA-1 в заголовке файла DEX для обеспечения проверки содержимого.