数以千计的 Android 恶意软件应用程序使用隐形 APK 压缩来逃避检测

威胁参与者正在使用具有未知或不受支持的压缩方法的 Android 包 (APK) 文件来逃避恶意软件分析。

这是根据 Zimperium 的调查结果得出的，该公司在野外发现了 3,300 个利用此类压缩算法的工件。其中 71 个已识别样本可以毫无问题地加载到操作系统上。

没有证据表明这些应用程序在任何时间点都可以在 Google Play 商店上使用，这表明这些应用程序是通过其他方式分发的，通常是通过不受信任的应用程序商店或社交工程来欺骗受害者旁加载它们。

安全研究员费尔南多·奥尔特加 (Fernando Ortega)表示，APK 文件使用“一种技术，限制了大量工具反编译应用程序的可能性，从而减少了被分析的可能性” 。“为了做到这一点，APK（本质上是一个 ZIP 文件）正在使用不受支持的解压缩方法。”

这种方式的优点是能够抵抗反编译工具，同时仍然能够安装在操作系统版本为Android 9 Pie以上的Android设备上。

这家总部位于德克萨斯州的网络安全公司表示，在 Joe Security 于 2023 年 6 月在 X（以前的 Twitter）上发布了关于表现出这种行为的APK 文件的帖子后，它开始了自己的分析。

Android 包以两种模式使用 ZIP 格式，一种不压缩，一种使用 DEFLATE 算法。这里的关键发现是，使用不受支持的压缩方法打包的 APK 无法安装在运行低于 9 的 Android 版本的手机上，但它们可以在后续版本上正常运行。

此外，Zimperium 发现恶意软件作者还故意通过使用超过 256 字节的文件名和格式错误的 AndroidManifest.xml 文件来破坏 APK 文件，以触发分析工具崩溃。

几周前，谷歌透露威胁行为者正在利用一种称为版本控制的技术来逃避其 Play 商店的恶意软件检测并针对 Android 用户。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7794.html