Milhares de aplicativos de malware para Android usam compressão sigilosa de APK para evadir detecção
21 de Agosto de 2023

Atores de ameaças estão usando arquivos Android Package (APK) com métodos de compressão desconhecidos ou não suportados para evitar a análise de malwares.

Essas são as conclusões da Zimperium, que encontrou 3.300 artefatos aproveitando tais algoritmos de compressão em estado selvagem.

71 das amostras identificadas podem ser carregadas no sistema operacional sem qualquer problema.

Não há evidências de que os aplicativos estavam disponíveis na Google Play Store em qualquer momento, o que indica que os aplicativos foram distribuídos por outros meios, normalmente através de lojas de aplicativos não confiáveis ou engenharia social para enganar as vítimas e fazê-las instalar esses aplicativos.

Os arquivos APK usam "uma técnica que limita a possibilidade de descompilar o aplicativo para um grande número de ferramentas, reduzindo as possibilidades de ser analisado", disse o pesquisador de segurança Fernando Ortega.

"Para fazer isso, o APK (que é essencialmente um arquivo ZIP), está usando um método de descompressão não suportado".

A vantagem dessa abordagem é a sua capacidade de resistir a ferramentas de descompilação, enquanto ainda pode ser instalado em dispositivos Android cuja versão do sistema operacional é superior ao Android 9 Pie.

A firma de segurança cibernética do Texas disse que iniciou sua própria análise após um post de Joe Security no X (anteriormente Twitter) em junho de 2023 sobre um arquivo APK que exibia esse comportamento.

Pacotes Android usam o formato ZIP em dois modos, um sem compressão e um usando o algoritmo DEFLATE.

A descoberta crucial aqui é que os APKs embalados usando métodos de compressão não suportados não são instaláveis em handsets rodando versões do Android abaixo de 9, mas funcionam corretamente nas versões subsequentes.

Além disso, a Zimperium descobriu que os autores de malwares também estão deliberadamente corrompendo os arquivos APK ao ter nomes de arquivo com mais de 256 bytes e arquivos AndroidManifest.xml malformados para desencadear falhas nas ferramentas de análise.

A divulgação ocorre semanas depois que o Google revelou que atores de ameaças estão usando uma técnica chamada versionamento para driblar as detecções de malware em sua Play Store e atacar usuários de Android.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...