Notícias de dispositivos móveis, gadgets, aplicativos Android

3Mais de .000 malwares Android usando métodos exclusivos de compactação para evitar detecção

Os Smartphones Android desempenham um papel vital no nosso dia a dia, pois ajudam-nos a manter-nos conectados e, não só isso, também ajudam na realização de diversas tarefas diárias como:

  • Compras
  • Banc√°rio
  • Navegando
  • Conex√Ķes

Mas, além disso, também atrai a atenção de cibercriminosos ou atores de ameaças, uma vez que smartphones manter nossos dados valiosos e confidenciais.

Pesquisadores de seguran√ßa cibern√©tica da Zimperium zLab identificaram recentemente um arquivo de pacote de aplicativo (APK) denominado ‚Äúa.apk‚ÄĚ que pode ser instalado na vers√£o do sistema operacional Android acima do Android 9 Torta, mas n√£o pode ser verificado na maioria das ferramentas anti-descompila√ß√£o.

OS ESPECIALISTAS DETECTARAM esta amostra de APK (2f371969faf2dc239206e81d00c579ff) em um tweet publicado por Joe Security.

Vis√£o geral do APK detectado

  • Nome da amostra do APK: a.apk
  • Descri√ß√£o: Yara detectou apk com compacta√ß√£o zip inv√°lida
  • ID de an√°lise: 895672
  • MD5: 2f371969faf2dc239206e81d00c579ff
  • SHA1: 0ad5289c6b7a438e3970149b183e74b89f534109
  • SHA256: b3561bf581721c8
  • Regra: JoeSecurity_apk_invalid_zip_compression

Compress√£o exclusiva de malware Android

Embora este exemplo evite a descompilação empregando um método de descompactação totalmente incompatível em seu APK, um arquivo zip dificulta a análise completa para muitas ferramentas.

No entanto, embora seja um método antigo, é de natureza sofisticada e envolve a alteração dos algoritmos de compressão do APK para evitar a análise automática do script, de forma que o exame estático possa ser evitado.

Com escopo de 16 bits, existem 65.536 op√ß√Ķes, mas o APK do Android, utilizando ZIP, acomoda apenas dois m√©todos de compacta√ß√£o.

Aqui abaixo, mencionamos esses dois métodos de compactação:

  • M√©todo ARMAZENADO (0x0000)
  • Algoritmo de compress√£o DEFLATE (0x0008)

Al√©m disso, os m√©todos de compacta√ß√£o n√£o suportados nas vers√Ķes do Android abaixo 9 bloquear a instala√ß√£o, mas funciona corretamente no caso do Android acima 9 vers√£o.

N√≥s recomendamos:  Dicas para trabalhar com arquivos RAW do Blackmagic Cinema

Certas ferramentas, como o MacOS Archive Utility, n√£o conseguem extrair arquivos de an√°lise cr√≠tica como ‚ÄúAndroidManifest.xml‚ÄĚ do APK. Mas, al√©m disso, o JEB, em sua √ļltima vers√£o, j√° corrigiu essa falha de compacta√ß√£o.

Técnicas detectadas

A seguir mencionamos todas as t√©cnicas que os analistas de seguran√ßa detectam: –

  • Nomes de arquivos com mais de 256 bytes
  • Arquivo AndroidManifest.xml malformado
  • Pool de strings malformado

Os analistas de seguran√ßa cibern√©tica da Zimperium zLabs descobriram que, para evitar a an√°lise, todos os 3.300 amostras estavam utilizando ‘compress√£o desconhecida n√£o suportada’ e at√© encontraram algumas corrompidas demais para serem carregadas pelo sistema operacional.

Destas amostras maliciosas identificadas, os analistas de seguran√ßa foram capazes de encontrar apenas 71 amostras negativas carreg√°veis ‚Äč‚Äčno sistema operacional Android e, entre essas amostras, nenhuma delas est√° dispon√≠vel em Google Play Store no momento.

COI

Aplicativos maliciosos que usam um m√©todo de compacta√ß√£o desconhecido e n√£o compat√≠vel: ‚Äď

  • com.freerdplalobydarkhack.con
  • pacote.nome.suffix
  • com.google.android.inputmethod.latia
  • num√©rico.contents.desktor
  • sa√ļde.karl.autoridade
  • charlie.aviso.profissional
  • imperial.xi.asia
  • turner.encorajado.partidas
  • insta.pro.prints
  • com.ace.measures
  • olhos.aquisi√ß√£o.entregue
  • xhtml.peripherals.bs
  • com.google.services
  • google.clood.suffix
  • amigos.exec.items
  • com.deveops.frogenet.service
  • com.yc.pfdl
  • publicidade.inter.brooklyn
  • consistir.prior.atingido
  • desastre.considerando.illinois
  • splash.app.main
  • rotulado.configurando.servi√ßos
  • associa√ß√£o.de.editores.considerados
  • com.appser.verapp
  • amplamente.sharp.rugs
  • feito √† m√£o.catalogs.urgente
  • com.gem.holidays
  • lim√£o.continental.prince
  • com.koi.tokenerror
  • cmf0.c3b5bm90zq.patch
  • com.ilogen.com
  • one.enix.smsforward
  • com.app.app
  • por.hora.wiki
  • com.mobihk.v
  • com.gmail.net
  • broadway.ssl.sazonal
  • Taxas.abc.laugh
  • tjb0n81d.j9hqk.eg0ekih
  • 9fji8.pgzckbu7.nuputk
  • bullet.default.til
  • fator.apnic.constitui
N√≥s recomendamos:  Instagram muda seu menu principal para priorizar a cria√ß√£o de conte√ļdo original