Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости» » Интернет технологии
sitename
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
 «Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
«Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
 В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
 Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
 Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
 TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
 Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
 ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
 «Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
«Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
 Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»

✔Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»

20 августа 2023 642 Новости / Изображения / Вёрстка / Преимущества стилей / Отступы и поля / Линии и рамки 0

Аналитики компании Zimperium обнаружили, что злоумышленники все чаще полагаются на вредоносные файлы APK для Android, которые не поддаются декомпиляции из-за использования неподдерживаемых, неизвестных или сильно измененных алгоритмов сжатия.


Исследователи обратили внимание на эту проблему после недавнего твита Joe Security, в котором рассказывалось об APK-файле, который не поддается анализу, но без проблем работает на устройствах Android.



Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»


Основное преимущество такого подхода для злоумышленников заключается в том, что такие файлы могут избегать внимания защитных решений, которые полагаются на статический анализ. Кроме того, это затрудняет изучение малвари ИБ-специалистами.


Эксперты объясняют, что обычно APK используют формат ZIP в двух режимах: один без сжатия и один с использованием алгоритма DEFLATE. APK-файлы, упакованные с использованием неподдерживаемых или неизвестных методов сжатия, нельзя установить на Android 8 и более ранних версий, однако они будут нормально работать в Android 9 и в более поздних версиях ОС.


По данным Zimperium, такие необычные методы антианализа используют более 3300 APK-файлов. Во многих случаях это приводит к сбоям в их работе, однако исследователи выявили 71 вредоносное приложение, которое прекрасно работает в Android 9 (API 28) и более поздних версиях.


Аналитики протестировали вредоносные приложения с помощью таких инструментов, как JADX, APKtool и macOS Archive Utility, но не смогли распаковать странные APK ни одним их них.


Более того, помимо неподдерживаемых методов сжатия авторы вредоносных APK используют имена файлов, превышающие 256 байт (что вызывает дополнительные сбои в инструментах для анализа), а также повреждают файл AndroidManifest.xml ради обфускации и используют искаженные String Pools.





Хотя эксперты Zimperium не пытались выяснить, что именно делают такие приложения, вряд ли они без причин так старательно скрываются от анализа и обнаружения.


Исследователи пишут, что ни одного из этих приложений нет в официальном магазине Google Play, но все же перечисляют их хэши в конце своего отчета, чтобы люди, которые загружают приложения из сторонних магазинов и других источников, могли обнаружить и удалить их.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики компании Zimperium обнаружили, что злоумышленники все чаще полагаются на вредоносные файлы APK для Android, которые не поддаются декомпиляции из-за использования неподдерживаемых, неизвестных или сильно измененных алгоритмов сжатия. Исследователи обратили внимание на эту проблему после недавнего твита Joe Security, в котором рассказывалось об APK-файле, который не поддается анализу, но без проблем работает на устройствах Android. Основное преимущество такого подхода для злоумышленников заключается в том, что такие файлы могут избегать внимания защитных решений, которые полагаются на статический анализ. Кроме того, это затрудняет изучение малвари ИБ-специалистами. Эксперты объясняют, что обычно APK используют формат ZIP в двух режимах: один без сжатия и один с использованием алгоритма DEFLATE. APK-файлы, упакованные с использованием неподдерживаемых или неизвестных методов сжатия, нельзя установить на Android 8 и более ранних версий, однако они будут нормально работать в Android 9 и в более поздних версиях ОС. По данным Zimperium, такие необычные методы антианализа используют более 3300 APK-файлов. Во многих случаях это приводит к сбоям в их работе, однако исследователи выявили 71 вредоносное приложение, которое прекрасно работает в Android 9 (API 28) и более поздних версиях. Аналитики протестировали вредоносные приложения с помощью таких инструментов, как JADX, APKtool и macOS Archive Utility, но не смогли распаковать странные APK ни одним их них. Более того, помимо неподдерживаемых методов сжатия авторы вредоносных APK используют имена файлов, превышающие 256 байт (что вызывает дополнительные сбои в инструментах для анализа), а также повреждают файл AndroidManifest.xml ради обфускации и используют искаженные String Pools. Хотя эксперты Zimperium не пытались выяснить, что именно делают такие приложения, вряд ли они без причин так старательно скрываются от анализа и обнаружения. Исследователи пишут, что ни одного из этих приложений нет в официальном магазине Google Play, но все же перечисляют их хэши в конце своего отчета, чтобы люди, которые загружают приложения из сторонних магазинов и других источников, могли обнаружить и удалить их.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: