Los actores de amenazas utilizan archivos del paquete de Android (APK) con métodos de compresión desconocidos o no admitidos para eludir el análisis de malware.
Eso es según los hallazgos de Zimperium, que encontró 3.300 artefactos que aprovechan dichos algoritmos de compresión en la naturaleza. 71 de las muestras identificadas se pueden cargar en el sistema operativo sin ningún problema.
No hay evidencia de que las aplicaciones estuvieran disponibles en Google Play Store en algún momento, lo que indica que las aplicaciones se distribuyeron a través de otros medios, generalmente a través de tiendas de aplicaciones no confiables o ingeniería social para engañar a las víctimas para que las descargaran.
Los archivos APK utilizan «una técnica que limita la posibilidad de descompilar la aplicación para una gran cantidad de herramientas, reduciendo las posibilidades de ser analizados», dijo el investigador de seguridad Fernando Ortega. dicho. «Para hacer eso, el APK (que en esencia es un archivo ZIP), utiliza un método de descompresión no compatible».
La ventaja de este enfoque es su capacidad para resistir las herramientas de descompilación, sin dejar de poder instalarse en dispositivos Android cuya versión del sistema operativo sea superior a Android 9 Pie.
La firma de seguridad cibernética con sede en Texas dijo que comenzó su propio análisis después de una correo de Joe Security en X (anteriormente Twitter) en junio de 2023 sobre un archivo APK que exhibió este comportamiento.
Los paquetes de Android usan el formato ZIP en dos modos, uno sin compresión y otro que usa el algoritmo DEFLATE. El hallazgo crucial aquí es que los APK empaquetados con métodos de compresión no admitidos no se pueden instalar en teléfonos con versiones de Android anteriores a la 9, pero funcionan correctamente en versiones posteriores.
Además, Zimperium descubrió que los autores de malware también están corrompiendo deliberadamente los archivos APK al tener nombres de archivo con más de 256 bytes y archivos AndroidManifest.xml con formato incorrecto para provocar bloqueos en las herramientas de análisis.
La divulgación se produce semanas después de que Google reveló que los actores de amenazas están aprovechando una técnica llamada control de versiones para evadir las detecciones de malware de su Play Store y apuntar a los usuarios de Android.