Os Smartphones Android desempenham um papel vital no nosso dia a dia, pois ajudam-nos a manter-nos conectados e, não só isso, também ajudam na realização de diversas tarefas diárias como:
- Compras
- Bancário
- Navegando
- Conexões
Mas, além disso, também atrai a atenção de cibercriminosos ou atores de ameaças, uma vez que smartphones manter nossos dados valiosos e confidenciais.
Pesquisadores de segurança cibernética da Zimperium zLab identificaram recentemente um arquivo de pacote de aplicativo (APK) denominado “a.apk” que pode ser instalado na versão do sistema operacional Android acima do Android 9 Torta, mas não pode ser verificado na maioria das ferramentas anti-descompilação.
OS ESPECIALISTAS DETECTARAM esta amostra de APK (2f371969faf2dc239206e81d00c579ff) em um tweet publicado por Joe Security.
Visão geral do APK detectado
- Nome da amostra do APK: a.apk
- Descrição: Yara detectou apk com compactação zip inválida
- ID de análise: 895672
- MD5: 2f371969faf2dc239206e81d00c579ff
- SHA1: 0ad5289c6b7a438e3970149b183e74b89f534109
- SHA256: b3561bf581721c8
- Regra: JoeSecurity_apk_invalid_zip_compression
Compressão exclusiva de malware Android
Embora este exemplo evite a descompilação empregando um método de descompactação totalmente incompatível em seu APK, um arquivo zip dificulta a análise completa para muitas ferramentas.
No entanto, embora seja um método antigo, é de natureza sofisticada e envolve a alteração dos algoritmos de compressão do APK para evitar a análise automática do script, de forma que o exame estático possa ser evitado.
Com escopo de 16 bits, existem 65.536 opções, mas o APK do Android, utilizando ZIP, acomoda apenas dois métodos de compactação.
Aqui abaixo, mencionamos esses dois métodos de compactação:
- Método ARMAZENADO (0x0000)
- Algoritmo de compressão DEFLATE (0x0008)
Além disso, os métodos de compactação não suportados nas versões do Android abaixo 9 bloquear a instalação, mas funciona corretamente no caso do Android acima 9 versão.
Certas ferramentas, como o MacOS Archive Utility, não conseguem extrair arquivos de análise crítica como “AndroidManifest.xml” do APK. Mas, além disso, o JEB, em sua última versão, já corrigiu essa falha de compactação.
Técnicas detectadas
A seguir mencionamos todas as técnicas que os analistas de segurança detectam: –
- Nomes de arquivos com mais de 256 bytes
- Arquivo AndroidManifest.xml malformado
- Pool de strings malformado
Os analistas de segurança cibernética da Zimperium zLabs descobriram que, para evitar a análise, todos os 3.300 amostras estavam utilizando ‘compressão desconhecida não suportada’ e até encontraram algumas corrompidas demais para serem carregadas pelo sistema operacional.
Destas amostras maliciosas identificadas, os analistas de segurança foram capazes de encontrar apenas 71 amostras negativas carregáveis no sistema operacional Android e, entre essas amostras, nenhuma delas está disponível em Google Play Store no momento.
COI
Aplicativos maliciosos que usam um método de compactação desconhecido e não compatível: –
- com.freerdplalobydarkhack.con
- pacote.nome.suffix
- com.google.android.inputmethod.latia
- numérico.contents.desktor
- saúde.karl.autoridade
- charlie.aviso.profissional
- imperial.xi.asia
- turner.encorajado.partidas
- insta.pro.prints
- com.ace.measures
- olhos.aquisição.entregue
- xhtml.peripherals.bs
- com.google.services
- google.clood.suffix
- amigos.exec.items
- com.deveops.frogenet.service
- com.yc.pfdl
- publicidade.inter.brooklyn
- consistir.prior.atingido
- desastre.considerando.illinois
- splash.app.main
- rotulado.configurando.serviços
- associação.de.editores.considerados
- com.appser.verapp
- amplamente.sharp.rugs
- feito à mão.catalogs.urgente
- com.gem.holidays
- limão.continental.prince
- com.koi.tokenerror
- cmf0.c3b5bm90zq.patch
- com.ilogen.com
- one.enix.smsforward
- com.app.app
- por.hora.wiki
- com.mobihk.v
- com.gmail.net
- broadway.ssl.sazonal
- Taxas.abc.laugh
- tjb0n81d.j9hqk.eg0ekih
- 9fji8.pgzckbu7.nuputk
- bullet.default.til
- fator.apnic.constitui
