Les auteurs de menaces utilisent des fichiers Android Package (APK) avec des méthodes de compression inconnues ou non prises en charge pour échapper à l’analyse des logiciels malveillants.
C’est selon les découvertes de Zimperium, qui a trouvé 3 300 artefacts tirant parti de ces algorithmes de compression dans la nature. 71 des échantillons identifiés peuvent être chargés sur le système d’exploitation sans aucun problème.
Il n’y a aucune preuve que les applications étaient disponibles sur le Google Play Store à un moment donné, ce qui indique que les applications ont été distribuées par d’autres moyens, généralement via des magasins d’applications non fiables ou de l’ingénierie sociale pour inciter les victimes à les charger.
Les fichiers APK utilisent « une technique qui limite la possibilité de décompiler l’application pour un grand nombre d’outils, réduisant les possibilités d’analyse », a déclaré le chercheur en sécurité Fernando Ortega. dit. « Pour ce faire, l’APK (qui est essentiellement un fichier ZIP) utilise une méthode de décompression non prise en charge. »
L’avantage d’une telle approche est sa capacité à résister aux outils de décompilation, tout en pouvant être installé sur des appareils Android dont la version du système d’exploitation est supérieure à Android 9 Pie.
La société de cybersécurité basée au Texas a déclaré avoir commencé sa propre analyse après une poste de Joe Security sur X (anciennement Twitter) en juin 2023 à propos d’un Fichier APK qui ont manifesté ce comportement.
Les packages Android utilisent le format ZIP en deux modes, l’un sans compression et l’autre utilisant l’algorithme DEFLATE. La conclusion cruciale ici est que les APK emballés à l’aide de méthodes de compression non prises en charge ne peuvent pas être installés sur les combinés exécutant des versions d’Android inférieures à 9, mais ils fonctionnent correctement sur les versions ultérieures.
De plus, Zimperium a découvert que les auteurs de logiciels malveillants corrompaient également délibérément les fichiers APK en ayant des noms de fichiers de plus de 256 octets et des fichiers AndroidManifest.xml malformés pour déclencher des plantages sur les outils d’analyse.
La divulgation intervient des semaines après que Google a révélé que les acteurs de la menace utilisaient une technique appelée versioning pour échapper aux détections de logiciels malveillants de son Play Store et cibler les utilisateurs d’Android.