Allarme APK: migliaia di file eludono antivirus con una nuova tecnica

Che i file APK siano spesso utilizzati per diffondere malware in ambiente Android non è di certo una novità.

Grazie a Zimperium, membro della App Defense Alliance (un gruppo votato all’identificazione e all’eliminazione del malware da Google Play) è però stato possibile individuare una nuova e pericolosa tecnica che permette a questi file di aggirare gli antivirus.

In tal senso, i file utilizzano algoritmi di compressione non standard, resistendo alla decompilazione degli strumenti anti-malware durante le scansioni. Oltre all’elevato tasso di elusività, ciò permette ai cybercriminali di prendere tempo, rallentando gli studi sui propri malware da parte degli esperti di sicurezza.

Un rapporto zLab pubblicato nella giornata di ieri afferma che 3.300 APK utilizzano questi insoliti metodi anti-analisi, a dimostrazione di come questa tecnica sia ormai diffusa. Zimperium ha voluto chiarire che nessuna di queste app si trova nel Google Play Store che, almeno sotto questo punto di vista, resta un ambiente sicuro.

APK a prova di antivirus? Metodi di compressione “alternativi” e altri trucchetti

Gli APK Android utilizzano il formato ZIP in due modalità, una senza compressione e una che utilizza l’algoritmo DEFLATE.

Gli APK compressi utilizzando metodi di compressione non supportati o sconosciuti non sono installabili su Android 8 e versioni precedenti, ma funzioneranno correttamente su Android 9 e successive.

Zimperium ha testato le app che ha campionato su strumenti di decompressione come JADX, APKtool e altri simili, con nessuno di loro è riuscito a decomprimere l’APK per effettuare un’analisi.

Oltre a utilizzare metodi di compressione non supportati, Zimperium ha anche scoperto che gli autori di APK malintenzionati utilizzano altri espedienti per rendere più difficile il lavoro degli antivirus.

In tal senso, per esempio, adottano nomi di file che superano i 256 byte per causare arresti anomali degli strumenti di analisi, corrompono il file AndroidManifest.xml per ottenere un maggior livello di offuscamento e utilizzano pool di stringhe non validi per arrestare in modo anomalo gli strumenti che separano i file XML di Android. .

Sebbene Zimperium non abbia approfondito ciò che fanno esattamente questi APK dannosi, è improbabile che l’intento di nascondere le loro funzioni sia benigno.