Miles de aplicaciones de malware para Android que utilizan la compresión Stealth APK para evitar la detección
Los actores de amenazas utilizan archivos del paquete de Android (APK) con métodos de compresión desconocidos o no admitidos para evadir el análisis de malware.
Esto está en línea con los hallazgos de Zimperium, que encontró 3300 artefactos que aprovechan estos algoritmos de compresión en la naturaleza. 71 de las muestras identificadas se pueden cargar en el sistema operativo sin ningún problema.
No hay evidencia de que las aplicaciones estuvieran disponibles en Google Play Store en ningún momento, lo que indica que las aplicaciones se distribuyeron a través de otros medios, generalmente a través de tiendas de aplicaciones no confiables o ingeniería social para engañar a las víctimas para que las carguen.
Los archivos APK utilizan «una técnica que limita la posibilidad de descompilar la aplicación a una gran cantidad de herramientas, reduciendo las posibilidades de ser analizados», dijo el investigador de seguridad Fernando Ortega él dijo. «Para hacer esto, el APK (que es esencialmente un archivo ZIP) está utilizando un método de descompresión no compatible».
La ventaja de este enfoque es su capacidad para resistir las herramientas de descompilación, al mismo tiempo que se puede instalar en dispositivos Android cuya versión del sistema operativo es superior a Android 9 Pie.
La firma de seguridad cibernética con sede en Texas dijo que comenzó su propia revisión después de una publicar de Joe Security en X (anteriormente Twitter) en junio de 2023 sobre un archivo apk que exhibía este comportamiento.
Los paquetes de Android usan el formato ZIP en dos modos, uno sin compresión y el otro usando el algoritmo DEFLATE. El hallazgo crucial aquí es que los APK comprimidos con métodos de compresión no admitidos no se pueden instalar en dispositivos con versiones de Android anteriores a la 9, pero funcionan correctamente en versiones posteriores.
Además, Zimperium descubrió que los autores de malware también están corrompiendo deliberadamente archivos APK con nombres de archivo superiores a 256 bytes y archivos AndroidManifest.xml con formato incorrecto para desencadenar fallas en las herramientas de análisis.
La divulgación se produce semanas después de que Google reveló que los actores de amenazas están aprovechando una técnica llamada control de versiones para evadir las detecciones de malware de Play Store y apuntar a los usuarios de Android.