Пасхалка в APK-файлах: что такое Frosting

Автор: Константин Молодяков

Структура файла — увлекательный мир со своими историей, тайнами и собственным цирком уродов, где выступают костыльные решения. Если в ней покопаться, можно найти много интересного.

Я наткнулся на одну особенность APK-файлов — специальную подпись с особым блоком метаданных, Frosting. Она позволяет однозначно определить, распространялся ли файл через Google Play. Эта подпись будет полезна для антивирусных вендоров и песочниц при анализе вредоносов. Кроме того, она может помочь криминалистам при поиске источника файла.

Информации об этом практически нет. Удалось найти только раздел Security metadata in early 2018 в Android Developers Blog и утилиту Avast, которая позволяет проверить данную подпись. Я решил изучить эту штуку, проверить корректность предположений разработчиков Avast о содержании Frosting-блока и поделиться своими выводами.

Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Не кибербез, а цифро-ТБ
• Атакуем LLM — дешево, сердито, ИИ-шно
• Echo Layer: как я пытался встроить приватность в обычную клавиатуру
• Тактильная эпоха — Часть 2: Складной планшет vs раскладной смартфон. И почему вы не понимаете, чего хотите
• Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов
• Максим Немов: Почему бизнес-гипотезы почти всегда ошибочны — и как на этом зарабатывают те, кто это понял
• Антипов Александр: Запускаю сервис для автоматической сверки актов. Что оказалось сложнее, чем казалось
• Запущен ещё один бесплатный сервис для проверки текстов на соответствие закону об англицизмах
• Рейтинг Рунета выпустит первый рейтинг компаний, занимающихся продвижением в нейросетях
• SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого