A Nova Tática de Malware que Utiliza Compressão APK Furtiva para Fugir da Detecção

Já ouviu falar da mais recente estratégia que ameaça nossos queridos smartphones? Vamos mergulhar nos detalhes e entender como criminosos cibernéticos estão usando compressão APK para contornar sistemas de detecção e, mais importante, como nos proteger!

Compressão APK: A Ferramenta Furtiva dos Cybercriminosos

Recentes descobertas da Zimperium revelaram que atores maliciosos estão utilizando arquivos Android Package (APK) com métodos de compressão desconhecidos ou não suportados para escapar da análise de malwares. Assustador, não é? Eles encontraram mais de 3.300 artefatos que utilizam tais algoritmos de compressão. E o mais intrigante? 71 das amostras identificadas podem ser carregadas no sistema operacional sem nenhum problema.

Mas e a Google Play Store?

A boa notícia? Não há evidências de que esses apps maliciosos estivessem disponíveis na Google Play Store. O que isso sugere? Que os aplicativos eram distribuídos de outras formas, geralmente por meio de lojas de aplicativos não confiáveis ou técnicas de engenharia social que induzem as vítimas a fazer o sideload dos aplicativos.

Como Funciona Esta Técnica Sinistra?

Os arquivos APK, segundo o pesquisador de segurança Fernando Ortega, estão usando uma técnica que “limita a possibilidade de descompilação do aplicativo por uma grande quantidade de ferramentas, reduzindo as chances de serem analisados”. Basicamente, o APK, que é essencialmente um arquivo ZIP, está usando um método de descompressão não suportado.

E qual é o benefício disso? Esses APKs têm a capacidade de resistir às ferramentas de descompilação, mas ainda assim podem ser instalados em dispositivos Android cuja versão do sistema operacional seja superior ao Android 9 Pie.

A Zimperium, uma renomada firma de cibersegurança baseada no Texas, iniciou sua análise após um post de Joe Security no X (anteriormente no Twitter) em junho de 2023, sobre um arquivo APK que exibia esse comportamento suspeito.

Entendendo o Jogo de Compressão dos APKs

Normalmente, os pacotes Android usam o formato ZIP em dois modos: um sem compressão e outro utilizando o algoritmo DEFLATE. Mas o pulo do gato aqui é que APKs compactados usando métodos de compressão não suportados não são instaláveis em celulares com versões Android abaixo do 9, mas funcionam corretamente nas versões subsequentes.

A Zimperium também fez outra descoberta alarmante: os autores de malwares estão corrompendo deliberadamente os arquivos APK. Como? Utilizando nomes de arquivos com mais de 256 bytes e arquivos AndroidManifest.xml malformados, causando falhas nas ferramentas de análise.

E Agora? O Que Fazer?

Essas revelações chegam semanas depois de o Google anunciar que criminosos cibernéticos estão usando uma técnica chamada versioning para burlar a detecção de malwares da Play Store e mirar nos usuários Android.

Então, querido usuário Android, fique atento! Sempre baixe aplicativos de fontes confiáveis e mantenha seu sistema e aplicativos atualizados. O mundo cibernético pode ser um lugar traiçoeiro, mas com precaução e informação, podemos navegar com segurança e confiança!

Fonte: https://cloud.google.com/security/gcat