Los actores de amenazas distribuyen cada vez más APK maliciosos de Android (instaladores de aplicaciones empaquetadas) que resisten la descompilación utilizando algoritmos de compresión no admitidos, desconocidos o muy modificados.
La principal ventaja de este enfoque es evadir la detección por parte de las herramientas de seguridad mediante el análisis estático y dificultar el examen por parte de los investigadores, lo que retrasa el desarrollo de una comprensión profunda de cómo funciona una variedad de malware de Android.
Zimperium, miembro de la ‘App Defense Alliance’ dedicada a identificar y eliminar el malware de Google Play, analizó el panorama de resistencia a la descompilación después de un tuit de Joe Security que mostraba un APK que elude el análisis pero se ejecuta sin problemas en dispositivos Android.
Un informe de zLab publicado ayer afirma que 3300 APK están utilizando estos métodos inusuales de antianálisis, lo que podría provocar que muchos de ellos se bloqueen. Sin embargo, los investigadores encontraron un subconjunto de 71 APK maliciosos que funcionan bien en la versión 9 del sistema operativo Android (API 28) y posteriores.
Zimperium aclara que ninguna de estas aplicaciones está en la tienda Google Play, pero enumera sus hashes en la parte inferior del informe para ayudar a las personas que obtienen aplicaciones de tiendas de terceros a encontrarlas y desinstalarlas.
Trucos de compresión
Los APK de Android usan el formato ZIP en dos modos, uno sin compresión y otro que usa el algoritmo DEFLATE.
La plataforma de Fortinet Security Fabric proporciona una verdadera integración y automatización en la infraestructura de seguridad de una organización.
Conocer..
Los APK empaquetados con métodos de compresión no admitidos o desconocidos no se pueden instalar en Android 8 y versiones anteriores, pero funcionarán bien en las versiones de Android 9 y posteriores.
Zimperium probó las aplicaciones que muestreó en herramientas de descompresión como JADX, APKtool y macOS Archive Utility y ninguna de ellas pudo descomprimir el APK para su análisis.
Además de usar métodos de compresión no admitidos, Zimperium también descubrió que los autores malintencionados de APK usan nombres de archivo que superan los 256 bytes para provocar fallas en las herramientas de análisis, corromper el archivo AndroidManifest.xml para ofuscarlo y usar String Pools con formato incorrecto para bloquear herramientas que parten archivos XML de Android.
Todas estas son técnicas contra el análisis y aunque Zimperium no profundiza en lo que hacen exactamente esos APK maliciosos, es poco probable que la intención de ocultar sus funciones sea benigna.
Dado que los APK descargados desde fuera de Google Play no se pueden examinar, la mejor manera de protegerse contra estas amenazas es evitar instalar aplicaciones de Android desde sitios de terceros en primer lugar.
Si debe instalar una aplicación fuera de Google Play, escanéela con una herramienta AV móvil confiable antes de la instalación.
Durante la instalación de la aplicación, preste atención a los permisos solicitados y busque señales de alerta que no estén relacionadas con la funcionalidad principal de la aplicación.
Finalmente, «rootear» su dispositivo Android convierte al usuario en administrador, lo que permite que los APK maliciosos se ejecuten con los privilegios más altos en el sistema operativo, por lo que generalmente se desaconseja.
Fuente: Bleepingcomputer
