#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники-вымогатели все чаще используют в своих атаках инструменты для извлечения данных, такие как Rclone, для кражи и угрозы разглашения данных, если выкуп не будет выплачен. Эти злоумышленники также используют легальное программное обеспечение, такое как Cobalt Strike, Restic и PowerShell, для вредоносных целей, таких как эксфильтрация данных и удаленный доступ. Этот переход к использованию легального программного обеспечения рассматривается как тактика, позволяющая избежать обнаружения в сетях жертв.
-----

Злоумышленники-вымогатели все чаще используют инструменты для извлечения данных в атаках, что приводит к тактике двойного вымогательства, когда они шифруют файлы и крадут данные, чтобы потребовать выкуп.

Rclone является широко используемым инструментом для эксфильтрации данных, в то время как другие легальные программы, такие как AnyDesk, ScreenConnect и Atera, также используются.

Атаки используют такие инструменты, как Cobalt Strike, Restic, Chisel и PowerShell, для различных вредоносных целей, включая скрытую связь, эксфильтрацию данных и удаленный доступ.

Злоумышленники перепрофилируют такие инструменты, как Rclone, для извлечения данных из скомпрометированных сетей, часто маскируя их под законные процессы, чтобы избежать обнаружения.

Эксфильтрация данных является решающим шагом в атаках программ-вымогателей, когда украденные данные используются для вымогательства у организаций, что приводит к созданию сайтов утечки данных в даркнете для жертв, не соблюдающих требования.

Многие злоумышленники в настоящее время используют для своей деятельности легальное программное обеспечение, полагая, что оно вызывает меньше предупреждений в сетях жертв по сравнению с традиционными вредоносными программами.

#ParsedReport #CompletenessMedium
06-03-2024

WikiLoader Delivery Spikes in February 2024

https://blog.eclecticiq.com/wikiloader-delivery-spikes-in-february-2024

Report completeness: Medium

Actors/Campaigns:
Ta544 (motivation: financially_motivated)
Shathak (motivation: financially_motivated)

Threats:
Wikiloader
Gozi
Lolbin_technique
Spear-phishing_technique

Industry:
Financial

Geo:
Japan, Russia, Ukraine

TTPs:

IOCs:
File: 1

Soft:
OneNote, Microsoft Office, ChatGPT

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем распространении WikiLeader в феврале 2024 года как серьезной киберугрозы, от которой организациям и частным лицам необходимо защищаться путем усиления своих мер кибербезопасности. WikiLoader - это загрузчик, связанный с банковским трояном Ursnif и используемый финансово мотивированными группами исполнителей киберугроз для вредоносных действий. В тексте также освещается модель вредоносного ПО "Вредоносное ПО как услуга", цепочка заражения через фишинговые электронные письма, методы уклонения, распространенные механизмы доставки, а также предлагаются рекомендации по эффективному смягчению последствий и обнаружению атак WikiLeader.
-----

Увеличение распространения WikiLeader наблюдалось в феврале 2024 года.

WikiLoader служит загрузчиком, размещающим вредоносные полезные файлы, связанные с банковским трояном Ursnif.

Связан с группами исполнителей киберугроз TA544 и TA551, нацеленными на корпорации в Европе и Японии.

Описывается как вредоносное ПО как услуга (MaaS), доступное в аренду киберпреступникам.

Цепочка заражения начинается с фишинговых писем, содержащих PDF-вложение, запускающее загрузку сжатого файла JavaScript.

WikiLoader использует запутывание и косвенные системные вызовы для уклонения.

Конечная полезная нагрузка может отличаться, часто это банковское вредоносное ПО, такое как Ursnif.

Механизмы доставки включают документы с поддержкой макросов, PDF-файлы с полезной нагрузкой на JavaScript и вложения OneNote с вредоносными исполняемыми файлами.

Стратегии смягчения последствий включают использование подозрительного правила дочернего процесса Microsoft Office, мониторинг wscript.exe, внедрение общесистемного 2FA и запрет хранения учетных данных браузера.

Дополнительные меры, такие как отключение макросов, предотвращение выполнения внешних файлов в документах OneNote и настройка файлов JavaScript для открытия в текстовом редакторе, усиливают защиту.

#ParsedReport #CompletenessHigh
06-03-2024

Unveiling Earth Kapre aka RedCurls Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence. Unveiling Earth Kapre aka RedCurl s Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence

https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

Report completeness: High

Actors/Campaigns:
Red_wolf (motivation: cyber_espionage, information_theft)

Threats:
Crudler
Impacket_tool
Smbexec_tool
Netstat_tool

Geo:
Germany, Canada, Slovenia, Russia, Ukraine, Australia

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1059, T1053, T1071, T1105, T1027, T1041, T1036, T1583, have more...

IOCs:
File: 12
Path: 27
Url: 13
IP: 2
Command: 16
Registry: 4
Domain: 1
Hash: 13

Soft:
curl, Windows service

Algorithms:
aes, exhibit, sha256, 7zip

Win API:
InternetOpenA, InternetConnectA, BcryptDecrypt

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 7, table: 1, code: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное расследование, проведенное командой Trend Micro Managed Extended Detection and Response (MDR) тактики, инструментов и техник кибершпионажной группы Earth Kapre, в котором освещается использование ими фишинговых кампаний, вредоносных вложений, законных инструментов для уклонения и методов утечки данных. Подчеркивается важность передовых решений для обнаружения угроз и реагирования на них, таких как предложения Trend Micro, для противодействия сложным субъектам угроз, таким как Earth Kapre, наряду с рекомендацией многоуровневого подхода к обеспечению безопасности для снижения потенциальных рисков.
-----

В записи блога обсуждается расследование, проведенное командой Trend Micro Managed Extended Detection and Response (MDR), которая обнаружила наборы вторжений, использованные группой кибершпионажа Earth Kapre в недавнем инциденте. Earth Kapre, также известная как RedCurl и Red Wolf, активно проводит фишинговые кампании, нацеленные на организации в разных странах. Группа использует фишинговые электронные письма, содержащие вредоносные вложения, такие как .файлы iso и .img, которые при открытии приводят к успешному заражению. Это приводит к созданию запланированных задач для сохранения и несанкционированному сбору и передаче конфиденциальных данных на серверы командования и контроля (C&C).

Команда MDR расследовала инцидент, в ходе которого загрузчиком Earth Kapre было заражено множество компьютеров, что указывает на потенциальную кражу данных. Earth Kapre использовала законные инструменты, такие как Powershell.exe и curl.exe для приобретения загрузчика последующей стадии, демонстрируя попытку влиться в сеть и избежать обнаружения. Группа также использовала помощник по совместимости программ (pcalua.exe) для выполнения вредоносных командных строк.

Дальнейшее расследование выявило использование curl.exe для загрузки файлов с определенных URL-адресов, что указывает на методы загрузки и выполнения вредоносной полезной нагрузки группой. Также было замечено использование методов запутывания, таких как повторное включение команд в пакетные файлы и их последующее удаление, чтобы избежать обнаружения. Impacket, набор классов Python с открытым исходным кодом для манипулирования сетевыми протоколами, был обнаружен в сети организации, что указывает на использование взаимодействий с сетевым протоколом Windows субъектами угроз.

Было обнаружено, что загрузчик Earth Kapre, распространяемый под случайно сгенерированными или запутанными именами файлов, подтверждает сетевые подключения и устанавливает связь с серверами C&C. Для сохранения были установлены запланированные задачи с разными именами задач и расположением файлов на зараженных компьютерах. Расследование выявило распространенность участия Earth Kapre в атаке, при этом серверы C&C подключались к определенным IP-адресам, широко используемым группой. Кроме того, было выявлено использование скриптов Impacket для несанкционированного выполнения команд, что подчеркивает изощренную тактику группы.

В записи блога подчеркивается критическая роль MDR в выявлении наборов вторжений и присвоении доказательств группам угроз кибершпионажа, таким как Earth Kapre. В нем подчеркивается важность передовых решений для обнаружения угроз и реагирования на них в противодействии сложным субъектам угроз и рекомендуется многоуровневый подход к обеспечению безопасности для снижения потенциальных рисков. Решения Trend Micro, такие как Trend Vision One, предлагающие многоуровневую защиту и обнаружение поведения, и Trend Micro Apex One, обеспечивающие автоматическое обнаружение продвинутых угроз, рекомендуются для повышения безопасности предприятия.

#ParsedReport #CompletenessLow
07-03-2024

Tales Of Valhalla March 2024. Nextron s Solutions for Enhanced Cybersecurity

https://www.nextron-systems.com/2024/03/05/tales-of-valhalla-march-2024

Report completeness: Low

Actors/Campaigns:
Ransomhouse
Earth_estries

Threats:
Supply_chain_technique
Hemigate
Cloudeye
Ironwind
Agent_tesla
Lokibot_stealer
Dll_sideloading_technique
Babuk
Avoslocker

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1195, T1562, T1573, T1574, T1027, T1105

IOCs:
File: 2
Hash: 7

Soft:
Discord

Algorithms:
rc4

Platforms:
x86

Links:
https://github.com/strivexjun/AheadLib-x86-x64
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/image\_load/image\_load\_side\_load\_libvlc.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждаются различные образцы вредоносных программ, таких как MrAgent, Guloader, HemiGate и IronWind, с подробным описанием их функциональных возможностей, используемых методов и связей с участниками угроз. Это также подчеркивает важность поставщиков услуг кибербезопасности в выявлении и анализе этих угроз для усиления мер безопасности.
-----

Сбор подписей, предлагаемый поставщиком услуг кибербезопасности, специально разработан для выявления различных угроз безопасности, таких как хакерские инструменты, следы, оставленные хакерами, необычное поведение пользователей, скрытые параметры конфигурации и законное программное обеспечение, которое потенциально может быть использовано в злонамеренных целях. Этот подход особенно эффективен при выявлении тактики, обычно используемой при атаках на цепочки поставок, и выявлении инструментов, которые могут обойти традиционные антивирусные системы и системы обнаружения конечных точек и реагирования (EDR).

Одним из изучаемых образцов является MrAgent, на который первоначально обратила внимание команда MalwareHunterTeam в связи с аналогичным образцом, используемым RansomHouse. Этот образец во время его загрузки в сентябре вызвал общее правило вредоносного по VMware ESX. MrAgent - это двоичный файл, созданный для работы с гипервизорами, основной целью которого является автоматизация и мониторинг развертывания программ-вымогателей в больших средах с многочисленными системами гипервизоров. Двоичный файл устанавливает обратные соединения с определенным набором серверов управления, при этом сведения о сервере должны быть предоставлены в качестве параметра командной строки.

Guloader выделяется как вредоносное ПО на основе шеллкода первой стадии, обычно используемое для загрузки других вариантов вредоносных программ, таких как Agent Tesla и Lokibot, среди прочих. Обнаруженный в 2019 году, Guloader остается активным по сей день. Исследования показывают, что многие из этих образцов представляют собой дампы памяти, извлеченные с помощью API VirusTotal (VT), обнаруживающие присутствие шеллкода GuLoader. Примечательно, что были случаи прямой загрузки шеллкода GuLoader в VT, причем некоторые поставщики систем безопасности быстро обнаруживали это. С другой стороны, HemiGate предстает как бэкдор, связанный с субъектом угрозы, идентифицированным как Earth Estries, о чем в прошлом году появился первый публичный отчет TrendMicro. После этого первоначального разоблачения было отслежено, как четыре отдельных образца HemiGate были загружены в VT в течение последующих месяцев. Самый последний образец, загруженный в начале января 2024 года, по поведению очень напоминает своих предшественников. Демонстрируя характеристики, сходные с имитацией libvlc.dll Библиотеки динамических ссылок (DLL), HemiGate использует методы боковой загрузки DLL, о чем свидетельствуют экспортируемые функции. Все экспортируемые данные, за исключением libvlc_new, остаются пустыми, при этом последний выполняет функции для расшифровки зашифрованной полезной нагрузки (бэкдор HemiGate) с помощью алгоритма шифрования RC4.

IronWind идентифицирован как загрузчик с начальным доступом, впервые опубликованный Proofpoint в ноябре прошлого года. Для получения подробной технической информации заинтересованные стороны могут обратиться к всестороннему анализу, предоставленному Proofpoint. После этого раскрытия был введен постоянный мониторинг для отслеживания случаев загрузки образцов IronWind в VirusTotal.

Кроме того, есть ссылка на правило обнаружения под названием "Потенциальная Libvlc.DLL Боковая загрузка", предназначенное для выявления потенциальных случаев боковой загрузки библиотеки DLL с использованием libvlc.dll, законной библиотеки DLL, обычно связанной с медиаплеером VLC. Специфика правила, автор, ссылки и связанная с ними информация приведены для контекста и дальнейшего изучения.

#ParsedReport #CompletenessMedium
07-03-2024

TODDLERSHARK: ScreenConnect Vulnerability Exploited to Deploy BABYSHARK Variant

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Screenconnect_tool
Polymorphism_technique
Connectwise_rat
Junk_code_technique
Spear-phishing_technique
Reconshark

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:

IOCs:
File: 3
Command: 14
Registry: 1
Path: 3
Url: 4
Domain: 1

Soft:
windows registry

Algorithms:
exhibit, base64

Languages:
powershell, visual_basic

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уязвимости в ConnectWise ScreenConnect версий 23.9.7 и более ранних, использовании этой уязвимости субъектами угроз для удаленного выполнения кода, обнаружении новой вредоносной кампании, связанной с APT-группой Kimsuky, использовании полиморфных методов в вредоносном ПО для уклонения от обнаружения и важности о своевременном исправлении уязвимых приложений и внедрении упреждающих мер безопасности для смягчения киберугроз.
-----

ConnectWise ScreenConnect версий 23.9.7 и более ранних уязвим для эксплуатации, что требует немедленного исправления.

Была обнаружена вредоносная кампания, напоминающая BABYSHARK, связанная с APT-группой Kimsuky (KTA082).

Использует CVE-2024-1708 и CVE-2024-1709 для облегчения удаленного выполнения кода после аутентификации.

Поведение вредоносного ПО включает в себя сильно запутанный код, динамическую загрузку URL-адресов с сервера C2, модификации реестра и эксфильтрацию данных.

Вредоносное ПО нацелено на кражу системной информации и создание запланированных задач для потенциальных дальнейших вредоносных загрузок.

Сходство наводит на мысль об эволюционировавшей версии BABYSHARK, использующей полиморфные методы уклонения.

Подчеркивалась важность оперативного исправления уязвимых приложений для снижения рисков.

Особое внимание уделяется упреждающим мерам безопасности, регулярным оценкам безопасности и мониторингу аномалий для борьбы со сложными киберугрозами.

#ParsedReport #CompletenessLow
07-03-2024

JetBrains TeamCity Authentication Bypass vulnerability under Active Exploitation

https://cyble.com/blog/jetbrains-teamcity-authentication-bypass-vulnerability-under-active-exploitation

Report completeness: Low

Actors/Campaigns:
Lazarus
Andariel

Threats:
Supply_chain_technique
Mitm_technique

Geo:
Ireland, Germany

CVEs:
CVE-2024-27198 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.11.4)

CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2024-27199 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1210, T1560, T1199

IOCs:
IP: 11

Soft:
JetBrains TeamCity, TeamCity, JetBrains, TeamCity JetBrains

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение критических уязвимостей обхода аутентификации (CVE-2024-27198 и CVE-2024-27199), влияющих на TeamCity JetBrains, выпуск исправлений для этих уязвимостей, коды эксплойтов, выпущенные Rapid7, активные попытки эксплуатации, обнаруженные Cyble Global Sensor Intelligence (CGSI), потенциальные риски, связанные с уязвимостями, и необходимость принятия организациями немедленных мер по устранению и смягчению этих рисков.
-----

В тексте обсуждается выпуск исправлений для двух уязвимостей обхода аутентификации (CVE-2024-27198 и CVE-2024-27199), влияющих на TeamCity JetBrains. Rapid7 опубликовал предварительные коды эксплойтов для этих уязвимостей, что привело к активным попыткам эксплуатации, обнаруженным Cyble Global Sensor Intelligence (CGSI) 5 марта 2024 года. Уязвимости были классифицированы как критические и высокой степени серьезности, затрагивающие все локальные версии TeamCity до версии 2023.11.4.

CVE-2024-27198 описывается как уязвимость для обхода аутентификации в веб-компоненте TeamCity, позволяющая злоумышленникам, не прошедшим проверку подлинности, получать доступ к конечным точкам с ограниченным доступом путем создания определенных URL-адресов. С другой стороны, CVE-2024-27199 - это уязвимость для обхода аутентификации на веб-сервере TeamCity, позволяющая злоумышленникам достигать аутентифицированных конечных точек из-за проблем с обходом пути.

Сканер Odin Cyble выявил 1780 подключенных к Интернету экземпляров TeamCity, значительное число из которых расположено в Соединенных Штатах, Ирландии и Германии. Попытки активного использования, обнаруженные 5 марта 2024 года, подчеркивают оперативные действия участников угроз по использованию общедоступных подтверждающих концепций и эксплойтов. Это быстрое реагирование ставит перед организациями задачу эффективного внедрения исправлений в обычные сроки, подчеркивая необходимость упреждающих контрмер.

Уязвимости, обнаруженные в TeamCity, представляют серьезную опасность, поскольку CVE-2024-27199 потенциально позволяет проводить атаки типа "отказ в обслуживании" и "человек посередине" на клиентские соединения. CVE-2024-27198, с другой стороны, подвергает уязвимые серверы TeamCity полной компрометации. Учитывая критический характер этих уязвимостей, требуется немедленное исправление для снижения рисков, связанных с эксплуатацией.

#ParsedReport #CompletenessLow
07-03-2024

Delving into Dalvik: A Look Into DEX Files. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/dalvik-look-into-dex-files

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1587.001

IOCs:
Hash: 1
File: 1

Soft:
Android

Algorithms:
zip, sha1, xor, md5

Functions:
onCreate, melodynight, justclinic, bleakperfect

Languages:
java, python

Links:
https://github.com/google/dexmod/
https://github.com/rchiossi/dexterity
https://github.com/skylot/jadx
https://github.com/google/dexmod

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ образца банковского трояна, нацеленного на смартфоны Android от Mandiant, который включает в себя расшифровку запутанных строк в коде приложения, чтобы понять его функциональность. В тексте также обсуждается банковский троян Nexus, структура DEX-файлов в APKS, проблемы при анализе образцов вредоносного по и разработка инструмента dexmod для упрощения задач анализа. Кроме того, в нем подчеркивается эволюционирующий характер угроз и важность использования таких инструментов, как dexmod, для анализа и понимания вредоносного программного обеспечения, нацеленного на устройства Android.
-----

Анализ образца банковского трояна, нацеленного на Android-смартфоны компанией Mandiant, выявил неоднократное использование механизма обфускации строк в коде приложения. Чтобы досконально понять функциональность приложения, необходимо ручное декодирование запутанных строк в каждом встречающемся методе, хотя это и трудоемкий процесс. Чтобы упростить этот анализ, было проведено тематическое исследование, посвященное банковскому троянцу Nexus, образцу вредоносного по, способному красть средства из различных банковских приложений на телефонах Android.

В качестве ориентира был использован фреймворк Nexus, доступный для покупки на подпольных форумах. Цель публикации в блоге - пролить свет на формат исполняемого файла Dalvik, его конструкцию и то, как им можно манипулировать для облегчения анализа. Было проведено углубленное изучение файлов DEX (исполняемых файлов Dalvik), содержащихся в APKs (Android Package Kit). В этих файлах DEX содержится байт-код приложений Android от Dalvik, который после компиляции является производным от байт-кода Java.

Файлы DEX структурированы по отдельным разделам, таким как заголовки, таблицы строк, определения классов, коды методов и другие сегменты данных. Одним из важных аспектов, описанных в исследовании, является раздел определения класса, в частности элемент class_data_off, который указывает на class_data_item, детализирующий атрибуты класса. Сюда входит информация о статических и виртуальных методах, а также о статических полях и полях экземпляра внутри класса.

Существенной проблемой, выявленной в ходе анализа, было отсутствие декодированных строк, необходимых для исправления байт-кода вредоносного образца, в таблице строк файла DEX. Чтобы решить эту проблему, декодированные строки необходимо было добавить в файл после декодирования, чтобы установить требуемый string_data_item и индекс string_id_item, на который может ссылаться код.

В ответ на эту проблему был разработан инструмент под названием dexmod. Dexmod - это вспомогательный инструмент на базе Python, предназначенный для исправления DEX-файлов на основе заданной пользователем логики деобфускации. Наряду с возможностями исправления, инструмент облегчает такие задачи, как поиск метода с использованием шаблонов байт-кода и добавление строк в файлы DEX. Сообщение в блоге также дает представление о внутренней работе dexmod, подчеркивая его полезность для упрощения анализа вредоносных приложений Android.

В то время как тематическое исследование демонстрирует эффективность исправления байт-кода Dalvik в оказании помощи исследователям, оно также признает эволюционирующую природу упаковщиков и методов запутывания. Поддержание универсального решения для исправления для широкого спектра приложений в течение длительного времени остается постоянной проблемой из-за динамической природы угроз. Несмотря на эффективность анализа байт-кода при выявлении шаблонов кодирования, модификация DEX-файлов без риска повреждения является сложной задачей.

Выпуск кода dexmod, связанного с проверкой образцов, призван вдохновить и поддержать других в их исследовании вредоносных приложений для Android. Используя бесплатные инструменты с открытым исходным кодом, такие как dexmod, исследователи могут расширить свои возможности в анализе и понимании потенциально вредоносного программного обеспечения, нацеленного на устройства Android.