Miles de APK de Android usan truco de compresión para frustrar el análisis

Los actores de amenazas distribuyen cada vez más APK maliciosos de Android (instaladores de aplicaciones empaquetadas) que se resisten a la descompilación utilizando algoritmos de compresión no compatibles, desconocidos o muy modificados.

La principal ventaja de este enfoque es evadir la detección por parte de las herramientas de seguridad mediante análisis estático y dificultar el examen por parte de los investigadores, retrasando el desarrollo de una comprensión profunda de cómo funciona una cepa de malware de Android.

Zimperium, miembro de la 'App Defense Alliance' dedicada a identificar y eliminar malware de Google Play, analizó el panorama de resistencia a la descompilación después de un tweet de Joe Security que mostró un APK que elude el análisis pero se ejecuta sin problemas en dispositivos Android.


Un informe de zLab publicado ayer afirma que 3.300 APK están utilizando estos métodos antianálisis inusuales, lo que podría causar que muchos de ellos se bloqueen. Sin embargo, los investigadores encontraron un subconjunto de 71 APK maliciosos que funcionan bien en la versión 9 (API 28) y posteriores del sistema operativo Android.

Zimperium aclara que ninguna de estas aplicaciones está en la tienda Google Play, pero enumera sus hashes en la parte inferior del informe para ayudar a las personas que obtienen aplicaciones de tiendas de terceros a encontrarlas y desinstalarlas.

Trucos de compresión

Los APK de Android usan el formato ZIP en dos modos, uno sin compresión y otro usando el algoritmo DEFLATE.

Los APK empaquetados con métodos de compresión no compatibles o desconocidos no se pueden instalar en Android 8 y versiones anteriores, pero funcionarán bien en las versiones de Android 9 y posteriores.

Zimperium probó las aplicaciones que probó en herramientas de descompresor como JADX, APKtool y macOS Archive Utility, y ninguna de ellas pudo descomprimir el APK para su análisis.

Además de usar métodos de compresión no compatibles, Zimperium también descubrió que los autores maliciosos de APK usan nombres de archivo que superan los 256 bytes para causar bloqueos en las herramientas de análisis, corrompen el archivo AndroidManifest.xml por ofuscación y usan grupos de cadenas con formato incorrecto para bloquear las herramientas que separan los archivos XML de Android.


Todas estas son técnicas anti-análisis, y aunque Zimperium no profundiza en lo que hacen exactamente esos APK maliciosos, es poco probable que la intención de ocultar sus funciones sea benigna.

Dado que los APK descargados desde fuera de Google Play no se pueden examinar, la mejor manera de protegerse contra estas amenazas es evitar la instalación de aplicaciones de Android desde sitios de terceros en primer lugar.

Si debe instalar una aplicación fuera de Google Play, escanéela con una herramienta antivirus móvil de buena reputación antes de la instalación.

Durante la instalación de la aplicación, preste atención a los permisos solicitados y busque cualquier señal de alerta no relacionada con la funcionalidad principal de la aplicación.

Finalmente, "rootear" su dispositivo Android convierte al usuario en administrador, lo que permite que los APK maliciosos se ejecuten con los privilegios más altos en el sistema operativo, por lo que generalmente se desaconseja.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta