Secondo recenti scoperte di Zimperium, gli attori delle minacce stanno sfruttando file APK con metodi di compressione non riconosciuti o non supportati per eludere l’analisi del malware. La ricerca ha identificato 3.300 artefatti che sfruttano tali algoritmi di compressione.
Dettagli della scoperta
Delle 3.300 app identificate, 71 possono essere caricate sul sistema operativo senza problemi. Non ci sono prove che queste app siano mai state disponibili sul Google Play Store, suggerendo che siano state distribuite attraverso altri canali, come app store non affidabili o ingegneria sociale per indurre le vittime a installarle manualmente.
I file APK utilizzano una tecnica che limita la possibilità di decompilare l’applicazione per molti strumenti, riducendo le possibilità di analisi. Fernando Ortega, ricercatore di sicurezza, ha dichiarato: “Per fare ciò, l’APK (che è essenzialmente un file ZIP) utilizza un metodo di decompressione non supportato”. Questo approccio ha il vantaggio di resistere agli strumenti di decompilazione, pur potendo essere installato su dispositivi Android con versione del sistema operativo superiore ad Android 9 Pie.
Zimperium ha iniziato la propria analisi dopo un post di Joe Security su X (precedentemente noto come Twitter) nel giugno 2023 riguardo a un file APK che mostrava questo comportamento. I pacchetti Android utilizzano il formato ZIP in due modalità: una senza compressione e una utilizzando l’algoritmo DEFLATE. La scoperta cruciale è che gli APK confezionati con metodi di compressione non supportati non possono essere installati su dispositivi con versioni Android inferiori al 9, ma funzionano correttamente sulle versioni successive.
Inoltre, Zimperium ha scoperto che gli autori di malware stanno anche corrompendo deliberatamente i file APK, utilizzando nomi di file superiori a 256 byte e file AndroidManifest.xml malformati per causare crash negli strumenti di analisi.
Contesto e ulteriori informazioni
Questa rivelazione arriva poche settimane dopo che Google ha rivelato che gli attori delle minacce stanno sfruttando una tecnica chiamata versioning per eludere i rilevamenti di malware del Play Store e prendere di mira gli utenti Android.