Tehdit aktörleri, kötü amaçlı yazılım analizinden kaçınmak için bilinmeyen veya desteklenmeyen sıkıştırma yöntemleriyle Android Paketi (APK) dosyaları kullanıyor.
Bu, vahşi ortamda bu tür sıkıştırma algoritmalarından yararlanan 3.300 eser bulan Zimperium’un bulgularına göre. Tespit edilen örneklerden 71 adedi sorunsuz bir şekilde işletim sistemine yüklenebilmektedir.
Uygulamaların herhangi bir zamanda Google Play Store’da mevcut olduğuna dair hiçbir kanıt yoktur, bu da uygulamaların başka yollarla, genellikle güvenilmeyen uygulama mağazaları veya sosyal mühendislik yoluyla kurbanları onları başka bir yerden yüklemeleri için kandırmak üzere dağıtıldığını gösterir.
Güvenlik araştırmacısı Fernando Ortega, APK dosyalarının “uygulamayı çok sayıda araç için kaynak koda dönüştürme olasılığını sınırlayan ve analiz edilme olasılıklarını azaltan bir teknik” kullandığını söyledi. “Bunu yapmak için APK (özünde bir ZIP dosyasıdır) desteklenmeyen bir açma yöntemi kullanıyor.”
Böyle bir yaklaşımın avantajı, işletim sistemi sürümü Android 9 Pie’nin üzerinde olan Android cihazlara yüklenebilmesine rağmen kaynak koda dönüştürme araçlarına direnebilmesidir.
Teksas merkezli siber güvenlik firması, bir süre sonra kendi analizini başlattığını söyledi. postalamak Haziran 2023’te X’te (önceden Twitter) Joe Security’den bu davranışı sergileyen bir APK dosyası hakkında.
Android paketleri, ZIP biçimini biri sıkıştırmasız, diğeri DEFLATE algoritmasını kullanan iki modda kullanır. Buradaki can alıcı bulgu, desteklenmeyen sıkıştırma yöntemleri kullanılarak paketlenmiş APK’lerin, Android 9’un altındaki sürümleri çalıştıran el cihazlarına yüklenemeyeceği, ancak sonraki sürümlerde düzgün çalıştığıdır.
Ayrıca Zimperium, kötü amaçlı yazılım yazarlarının, analiz araçlarında çökmeleri tetiklemek için 256 bayttan fazla dosya adlarına ve hatalı biçimlendirilmiş AndroidManifest.xml dosyalarına sahip olarak APK dosyalarını da kasıtlı olarak bozduğunu keşfetti.
Açıklama, Google’ın tehdit aktörlerinin Play Store’un kötü amaçlı yazılım tespitlerinden kaçınmak ve Android kullanıcılarını hedeflemek için sürüm oluşturma adı verilen bir teknikten yararlandığını açıklamasından haftalar sonra geldi.