Вредоносные APK на Android могут обмануть антивирус благодаря хитроми сжатию

Преступники в настоящее время распространяют вредоносные APK-файлы для платформы Android, используя стратегию, которая затрудняет декомпиляцию приложений. Для достижения этой цели, они применяют нестандартные методы сжатия с неподдерживаемыми или измененными алгоритмами. Этот метод помогает избежать статистического анализа и осложнить процесс изучения APK-файлов исследователями. Компания Zimperium, специализирующаяся на обнаружении угроз в Google Play Store, провела анализ методов, которыми киберпреступники стараются обойти декомпиляцию. Это исследование было вдохновлено твитом от Joe Security, в котором был продемонстрирован APK-файл, способный избегать анализа и успешно функционирующий на Android-устройствах.

Вредоносные APK на Android могут обмануть антивирус благодаря хитроми сжатию

Согласно докладу zLab, обнаружено около 3300 APK-файлов, использующих нетрадиционные методы уклонения от анализа. Эти методы часто могут вызывать сбои в работе файлов. Однако 71 вредоносный APK-файл успешно работал на Android версии 9 и выше, используя методы антианализа. Специалисты из Zimperium подчеркивают, что ни одно из этих приложений не доступно через Google Play Store. Они также предоставили список хешей этих программ, чтобы предотвратить попадание пользователей на вредоносные файлы при скачивании из сторонних источников.

Формат файлов APK включает два режима сжатия: без сжатия и с использованием алгоритма DEFLATE. Применение неизвестных или неподдерживаемых методов сжатия может сделать файл несовместимым с Android 8 и более старыми версиями операционной системы, однако файлы такого типа работают корректно на Android 9 и более новых версиях. Этот метод был проверен на таких инструментах, как JADX, APKtool и родной инструмент для упаковки на macOS, и ни один из них не смог обработать такие файлы. Злоумышленники также используют имена файлов, превышающие 256 байт, что вызывает сбои в работе аналитических инструментов.

Поделиться с друзьями
ASTERA