Home Sociedad Miles de aplicaciones de malware de Android, utilizan la compresión sigilosa de...

Miles de aplicaciones de malware de Android, utilizan la compresión sigilosa de APK para evadir la detección

September 4, 2021, Brazil. In this photo illustration the Android logo displayed on a smartphone with malware alert in the background

Los actores de amenazas utilizan archivos del paquete de Android (APK) con métodos de compresión desconocidos o no admitidos para eludir el análisis de malware.

Eso es según los hallazgos de Zimperium, que encontró 3.300 artefactos que aprovechan dichos algoritmos de compresión en la naturaleza. 71 de las muestras identificadas se pueden cargar en el sistema operativo sin ningún problema.

No hay evidencia de que las aplicaciones estuvieran disponibles en Google Play Store en algún momento, lo que indica que las aplicaciones se distribuyeron a través de otros medios, generalmente a través de tiendas de aplicaciones no confiables o ingeniería social para engañar a las víctimas para que las descargaran.

Los archivos APK utilizan “una técnica que limita la posibilidad de descompilar la aplicación para una gran cantidad de herramientas, reduciendo las posibilidades de ser analizados”, dijo el investigador de seguridad Fernando Ortega. “Para hacer eso, el APK (que en esencia es un archivo ZIP), utiliza un método de descompresión no compatible”.

La ventaja de este enfoque es su capacidad para resistir las herramientas de descompilación, sin dejar de poder instalarse en dispositivos Android cuya versión del sistema operativo sea superior a Android 9 Pie.

La firma de ciberseguridad con sede en Texas dijo que comenzó su propio análisis después de una publicación de Joe Security en X (anteriormente Twitter) en junio de 2023 sobre un archivo APK que mostraba este comportamiento.

Los paquetes de Android usan el formato ZIP en dos modos, uno sin compresión y otro que usa el algoritmo DEFLATE. El hallazgo crucial aquí es que los APK empaquetados con métodos de compresión no admitidos no se pueden instalar en teléfonos con versiones de Android anteriores a la 9, pero funcionan correctamente en versiones posteriores.

La divulgación se produce semanas después de que Google reveló que los actores de amenazas están aprovechando una técnica llamada control de versiones para evadir las detecciones de malware de su Play Store y apuntar a los usuarios de Android.