Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
 Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»

✔Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»

20 августа 2023 641 Новости / Изображения / Вёрстка / Преимущества стилей / Отступы и поля / Линии и рамки 0

Аналитики компании Zimperium обнаружили, что злоумышленники все чаще полагаются на вредоносные файлы APK для Android, которые не поддаются декомпиляции из-за использования неподдерживаемых, неизвестных или сильно измененных алгоритмов сжатия.


Исследователи обратили внимание на эту проблему после недавнего твита Joe Security, в котором рассказывалось об APK-файле, который не поддается анализу, но без проблем работает на устройствах Android.



Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»


Основное преимущество такого подхода для злоумышленников заключается в том, что такие файлы могут избегать внимания защитных решений, которые полагаются на статический анализ. Кроме того, это затрудняет изучение малвари ИБ-специалистами.


Эксперты объясняют, что обычно APK используют формат ZIP в двух режимах: один без сжатия и один с использованием алгоритма DEFLATE. APK-файлы, упакованные с использованием неподдерживаемых или неизвестных методов сжатия, нельзя установить на Android 8 и более ранних версий, однако они будут нормально работать в Android 9 и в более поздних версиях ОС.


По данным Zimperium, такие необычные методы антианализа используют более 3300 APK-файлов. Во многих случаях это приводит к сбоям в их работе, однако исследователи выявили 71 вредоносное приложение, которое прекрасно работает в Android 9 (API 28) и более поздних версиях.


Аналитики протестировали вредоносные приложения с помощью таких инструментов, как JADX, APKtool и macOS Archive Utility, но не смогли распаковать странные APK ни одним их них.


Более того, помимо неподдерживаемых методов сжатия авторы вредоносных APK используют имена файлов, превышающие 256 байт (что вызывает дополнительные сбои в инструментах для анализа), а также повреждают файл AndroidManifest.xml ради обфускации и используют искаженные String Pools.





Хотя эксперты Zimperium не пытались выяснить, что именно делают такие приложения, вряд ли они без причин так старательно скрываются от анализа и обнаружения.


Исследователи пишут, что ни одного из этих приложений нет в официальном магазине Google Play, но все же перечисляют их хэши в конце своего отчета, чтобы люди, которые загружают приложения из сторонних магазинов и других источников, могли обнаружить и удалить их.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики компании Zimperium обнаружили, что злоумышленники все чаще полагаются на вредоносные файлы APK для Android, которые не поддаются декомпиляции из-за использования неподдерживаемых, неизвестных или сильно измененных алгоритмов сжатия. Исследователи обратили внимание на эту проблему после недавнего твита Joe Security, в котором рассказывалось об APK-файле, который не поддается анализу, но без проблем работает на устройствах Android. Основное преимущество такого подхода для злоумышленников заключается в том, что такие файлы могут избегать внимания защитных решений, которые полагаются на статический анализ. Кроме того, это затрудняет изучение малвари ИБ-специалистами. Эксперты объясняют, что обычно APK используют формат ZIP в двух режимах: один без сжатия и один с использованием алгоритма DEFLATE. APK-файлы, упакованные с использованием неподдерживаемых или неизвестных методов сжатия, нельзя установить на Android 8 и более ранних версий, однако они будут нормально работать в Android 9 и в более поздних версиях ОС. По данным Zimperium, такие необычные методы антианализа используют более 3300 APK-файлов. Во многих случаях это приводит к сбоям в их работе, однако исследователи выявили 71 вредоносное приложение, которое прекрасно работает в Android 9 (API 28) и более поздних версиях. Аналитики протестировали вредоносные приложения с помощью таких инструментов, как JADX, APKtool и macOS Archive Utility, но не смогли распаковать странные APK ни одним их них. Более того, помимо неподдерживаемых методов сжатия авторы вредоносных APK используют имена файлов, превышающие 256 байт (что вызывает дополнительные сбои в инструментах для анализа), а также повреждают файл AndroidManifest.xml ради обфускации и используют искаженные String Pools. Хотя эксперты Zimperium не пытались выяснить, что именно делают такие приложения, вряд ли они без причин так старательно скрываются от анализа и обнаружения. Исследователи пишут, что ни одного из этих приложений нет в официальном магазине Google Play, но все же перечисляют их хэши в конце своего отчета, чтобы люди, которые загружают приложения из сторонних магазинов и других источников, могли обнаружить и удалить их.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: