5 votos

Guillermo Gomez avatar

Paquete extraño "com.google.ccc.abuse.droidguard.droidguasso"

Preguntado el 16 de Abril, 2017
Cuando se hizo la pregunta
306 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Recientemente mi teléfono muestra "Android está empezando a optimizar la aplicación 1 de 1" en cada inicio. Intercepté esto y encontré que se ejecuta dex2oat de esta manera

/system/bin/dex2oat --runtime-arg -classpath --runtime-arg /system/framework/XposedBridge.jar --instruction-set=arm64 --instruction-set-features=default --runtime-arg -Xnorelocate --boot-image=/system/framework/boot.art --dex-file=**/data/data/com.google.android.gms/app\_fb/f.apk** --oat-fd=45 --oat-location=/data/data/com.google.android.gms/app\_fb/f.dex --runtime-arg -Xms64m --runtime-arg -Xmx512m

También logré obtener una copia del APK. El APK original y DEX desaparecen después de que dex2oat haya terminado. Su ID de paquete es com.google.ccc.abuse.droidguard.droidguasso y solo tiene un tamaño de 6.5KB. Ni siquiera hay una carpeta META-INF en el APK. Google no muestra ningún resultado exacto al respecto.
Me preocupa si se trata de un malware pero no puedo averiguar más. ¿Alguien puede ayudarme?

Tengo el APK interceptado subido a Dropbox.

Editar: Me deshice de él creando un archivo en blanco en /data/data/com.google.android.gms/app_fb. Pero todavía me pregunto sobre su malicia (si es que la hay).

Preguntado el 16 de Abril, 2017 por Guillermo Gomez

0 votos

Avatar de Guillermo Gomez

@DeathMaskSalesman Sí lo hago. Su MD5 es 8326f83bbec520d3077c8106e5bf889b. 6582 bytes de tamaño.

Comentado el 16 de Abril, 2017 por Guillermo Gomez

Respuestas

¿Demasiados anuncios?

4voto

Death Mask Salesman avatar
Death Mask Salesman Puntos 56

Descargo de responsabilidad

El código de esta APK está ofuscado, por lo tanto, es difícil determinar su propósito. Para aquellos que tengan dudas sobre mi análisis, y los animo a tenerlas, siéntase libre de descargar la APK decompilada desde mi cuenta de MEGA.

Análisis

En primer lugar, me gustaría declarar que hay cinco características de este código que me hicieron pensar:

  1. el código está ofuscado;
  2. nunca se declaran permisos dentro del archivo AndroidManifest.xml;
  3. incluso si el código en sí está ofuscado, hay cadenas que hacen referencia a EGL, shaders y renderizado;
  4. un método en el código sondea la tarjeta gráfica del dispositivo;
  5. esta APK no está firmada.

En cuanto al punto 1, a menudo he decompilado aplicaciones de Google, y les gusta ofuscar su código.

El punto 2 limita en gran medida las posibles acciones maliciosas que una aplicación puede realizar, siempre y cuando la aplicación no herede sus permisos de otra aplicación.

Los puntos 3 y 4 parecen apuntar hacia un software que se dedica a dibujar en la pantalla.

El punto 5 es fascinante, ya que el instalador de paquetes de Android normalmente no permite la instalación de paquetes no firmados.

Suposición

Supongo que esto es un software desarrollado por Google, de Google. La APK no está firmada, pero teóricamente podría ser instalada por una aplicación del sistema, por lo tanto, sorteando la restricción de la firma.

Respondido el 16 de Abril, 2017 por Death Mask Salesman (56 Puntos )

1voto

Ungureanu Liviu avatar
Ungureanu Liviu Puntos 1573

Tengo motivos para creer que com.google.ccc.abuse.droidguard.droidguasso es Droidguard (una herramienta de seguridad de Google). Hay poca información al respecto en la web, y la mejor fuente de información sobre SafetyNet (que está relacionada con Droidguard) ha dicho explícitamente que no publicaría información al respecto ya que solo sería útil para atacantes. Refiriéndose a la otra respuesta, SafetyNet no es un paquete obfuscado, y solo contiene el archivo classes.dex. Dado que Droidguard está efectivamente obfuscado mientras que SafetyNet no lo está, mi suposición es que Droidguard evoluciona más lentamente que SafetyNet.

Respondido el 17 de Abril, 2017 por Ungureanu Liviu (1573 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X