Специалисты в области кибербезопасности все больше обращают внимание на растущее количество вредоносных приложений для устройств на базе операционной системы Android, которые с успехом обходят обнаружение мобильными антивирусными программами. Трюк злоумышленников заключается в использовании неизвестного или неподдерживаемого метода сжатия APK (Android Package).
Антивирусные программы не могут разархивировать APK для анализа и следовательно не могут считать приложение вредоносным. Более старые версии операционной системы Android не способны запускать такие приложения, хотя Android 9 и более поздние версии совместимы с ними.
Согласно информации, опубликованной на BleepingComputer, Joe Security первым выявил новый метод работы APK-файлов, который обеспечивает их уклонение от обнаружения на устройствах Android. Подтверждением этому служит демонстрация, которую Joe Security провел на своей странице в Twitter.
Zimperium и zLab быстро отреагировали на результаты и оперативно приняли необходимые меры. В свежеопубликованном отчете zLab указывается, что на текущий момент около 3300 APK-файлов уклоняются от обнаружения с помощью этого метода.
Хорошей новостью является то, что ни одно из этих приложений не было найдено в официальном магазине Google Play. Это означает, что они распространяются через альтернативные каналы. В то же время, это также создает сложности в отслеживании и удалении APK-файлов.
Отчет компании Zimperium предоставляет список хэшей приложений, которые помогут пользователям определить, наличие каких-либо вредоносных программ на их устройствах. Рекомендуется тщательно удалить эти приложения и затем провести сканирование с помощью антивирусного приложения для Android, чтобы устранить любые возможные проблемы. Также стоит быть внимательным и осторожным при использовании приложений, которые запросили необычные разрешения.
Zimperium сообщает, что файлы APK имеют имена размером более 256 байт, что приводит к сбою инструментов анализа, а пулы строк имеют неверный формат.