Los actores de amenazas usan archivos de paquetes de Android (APK) con métodos de compresión desconocidos o no admitidos para evitar el análisis de malware.
Esto es de acuerdo con los hallazgos de Zimperium, que encontró 3300 artefactos que aprovechan estos algoritmos de compresión en la naturaleza. 71 de las muestras seleccionadas se pueden cargar en el sistema operativo sin ningún problema.
No hay evidencia de que las aplicaciones estuvieran disponibles en Google Play Store en ningún momento, lo que indica que las aplicaciones se distribuyeron a través de otros medios, generalmente a través de tiendas de aplicaciones no confiables o ingeniería social para engañar a las víctimas para que las descargaran.
Los APK “utilizan un método que limita la capacidad de descompilar una aplicación a un gran número de herramientas, reduciendo así las posibilidades de análisis”, según el investigador de seguridad Fernando Ortega. Él dijo. «Para hacer esto, el APK (que es básicamente un archivo ZIP) utiliza un método de descompresión no compatible».
La ventaja de este enfoque es que puede resistir los descompiladores, al mismo tiempo que puede instalarlo en dispositivos Android cuya versión del sistema operativo es superior a Android 9 Pie.
La firma de seguridad cibernética con sede en Texas dijo que comenzó su propio análisis después de una correo De Joe Security en X (anteriormente Twitter) en junio de 2023 sobre archivo apk que exhibió este comportamiento.
Los paquetes de Android usan el formato ZIP en dos modos, uno sin compresión y el otro usando el algoritmo DEFLATE. El problema crucial aquí es que los archivos APK empaquetados con métodos de compresión no admitidos no se pueden instalar en teléfonos con versiones de Android anteriores a la 9, pero funcionan correctamente en versiones posteriores.
Además, Zimperium descubrió que los creadores de malware también corrompen los APK al tener nombres de archivo de más de 256 bytes y alteraron los archivos AndroidManifest.xml para provocar fallas en las herramientas de análisis.
La divulgación se produce semanas después de que Google revelara que los actores de amenazas están aprovechando una técnica llamada vulnerabilidad para evadir la detección de malware en Play Store y apuntar a los usuarios de Android.
«Organizador. Escritor. Nerd malvado del café. Evangelista general de la comida. Fanático de la cerveza de toda la vida.