يستخدم ممثلو التهديدات ملفات حزمة أندرويد (APK) بأساليب ضغط غير معروفة أو غير مدعومة لتفادي تحليل البرامج الضارة.
وفقًا لنتائج Zimperium، التي وجدت 3300 عينة تستفيد من خوارزميات الضغط غير المدعونة. يمكن تحميل 71 من العينات المحددة على نظام التشغيل دون أي مشاكل.
لا يوجد دليل على أن التطبيقات كانت متاحة على متجر Google Play في أي وقت، مما يشير إلى أن التطبيقات تم توزيعها من خلال وسائل أخرى، عادةً عن طريق متاجر التطبيقات غير الموثوق بها أو الهندسة الاجتماعية لخداع الضحايا لتنزيلهم.
قال الباحث الأمني فرناندو أورتيجا إن ملفات APK تستخدم "تقنية تحد من إمكانية فك ترجمة التطبيق لعدد كبير من الأدوات، مما يقلل من احتمالات التحليل". "من أجل القيام بذلك، يستخدم APK (وهو في الأساس ملف ZIP) طريقة غير مدعومة لإلغاء الضغط."
تتمثل ميزة هذا النهج في قدرته على مقاومة أدوات إلغاء الترجمة، مع استمرار إمكانية تثبيته على أجهزة Android التي يكون إصدار نظام التشغيل بها أعلى من Android 9 Pie.
قالت شركة الأمن السيبراني ومقرها تكساس إنها بدأت تحليلها الخاص بعد منشور من Joe Security على X (سابقًا Twitter) في يونيو 2023 حول ملف APK أظهر هذا السلوك.
تستخدم حزم Android تنسيق ZIP في وضعين، أحدهما بدون ضغط والآخر يستخدم خوارزمية DEFLATE. النتيجة الحاسمة هنا هي أن ملفات APK المعبأة باستخدام طرق ضغط غير مدعومة غير قابلة للتثبيت على الهواتف التي تعمل بإصدارات Android أقل من 9، لكنها تعمل بشكل صحيح في الإصدارات اللاحقة.
بالإضافة إلى ذلك، اكتشف Zimperium أن مؤلفي البرامج الضارة يقومون أيضًا بإفساد ملفات APK عن طريق وجود أسماء ملفات بها أكثر من 256 بايت وملفات AndroidManifest.xml المشوهة لإحداث تعطل في أدوات التحليل.
يأتي هذا الكشف بعد أسابيع من كشف Google أن الجهات الفاعلة في التهديد تستفيد من تقنية تسمى الإصدار للتهرب من اكتشاف البرامج الضارة في متجر Play واستهداف مستخدمي Android.
المصدر The Hacker News