Atores de ameaças estão usando arquivos Android Package (APK) com métodos de compressão desconhecidos ou não suportados para evitar a análise de malwares.
Essas são as conclusões da Zimperium, que encontrou 3.300 artefatos aproveitando tais algoritmos de compressão em estado selvagem.
71 das amostras identificadas podem ser carregadas no sistema operacional sem qualquer problema.
Não há evidências de que os aplicativos estavam disponíveis na Google Play Store em qualquer momento, o que indica que os aplicativos foram distribuídos por outros meios, normalmente através de lojas de aplicativos não confiáveis ou engenharia social para enganar as vítimas e fazê-las instalar esses aplicativos.
Os arquivos APK usam "uma técnica que limita a possibilidade de descompilar o aplicativo para um grande número de ferramentas, reduzindo as possibilidades de ser analisado", disse o pesquisador de segurança Fernando Ortega.
"Para fazer isso, o APK (que é essencialmente um arquivo ZIP), está usando um método de descompressão não suportado".
A vantagem dessa abordagem é a sua capacidade de resistir a ferramentas de descompilação, enquanto ainda pode ser instalado em dispositivos Android cuja versão do sistema operacional é superior ao Android 9 Pie.
A firma de segurança cibernética do Texas disse que iniciou sua própria análise após um post de Joe Security no X (anteriormente Twitter) em junho de 2023 sobre um arquivo APK que exibia esse comportamento.
Pacotes Android usam o formato ZIP em dois modos, um sem compressão e um usando o algoritmo DEFLATE.
A descoberta crucial aqui é que os APKs embalados usando métodos de compressão não suportados não são instaláveis em handsets rodando versões do Android abaixo de 9, mas funcionam corretamente nas versões subsequentes.
Além disso, a Zimperium descobriu que os autores de malwares também estão deliberadamente corrompendo os arquivos APK ao ter nomes de arquivo com mais de 256 bytes e arquivos AndroidManifest.xml malformados para desencadear falhas nas ferramentas de análise.
A divulgação ocorre semanas depois que o Google revelou que atores de ameaças estão usando uma técnica chamada versionamento para driblar as detecções de malware em sua Play Store e atacar usuários de Android.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...