Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»

✔Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»

20 августа 2023 460 Новости / Изображения / Вёрстка / Преимущества стилей / Отступы и поля / Линии и рамки 0

Аналитики компании Zimperium обнаружили, что злоумышленники все чаще полагаются на вредоносные файлы APK для Android, которые не поддаются декомпиляции из-за использования неподдерживаемых, неизвестных или сильно измененных алгоритмов сжатия.


Исследователи обратили внимание на эту проблему после недавнего твита Joe Security, в котором рассказывалось об APK-файле, который не поддается анализу, но без проблем работает на устройствах Android.



Тысячи APK-файлов используют сжатие, чтобы избежать анализа - «Новости»


Основное преимущество такого подхода для злоумышленников заключается в том, что такие файлы могут избегать внимания защитных решений, которые полагаются на статический анализ. Кроме того, это затрудняет изучение малвари ИБ-специалистами.


Эксперты объясняют, что обычно APK используют формат ZIP в двух режимах: один без сжатия и один с использованием алгоритма DEFLATE. APK-файлы, упакованные с использованием неподдерживаемых или неизвестных методов сжатия, нельзя установить на Android 8 и более ранних версий, однако они будут нормально работать в Android 9 и в более поздних версиях ОС.


По данным Zimperium, такие необычные методы антианализа используют более 3300 APK-файлов. Во многих случаях это приводит к сбоям в их работе, однако исследователи выявили 71 вредоносное приложение, которое прекрасно работает в Android 9 (API 28) и более поздних версиях.


Аналитики протестировали вредоносные приложения с помощью таких инструментов, как JADX, APKtool и macOS Archive Utility, но не смогли распаковать странные APK ни одним их них.


Более того, помимо неподдерживаемых методов сжатия авторы вредоносных APK используют имена файлов, превышающие 256 байт (что вызывает дополнительные сбои в инструментах для анализа), а также повреждают файл AndroidManifest.xml ради обфускации и используют искаженные String Pools.





Хотя эксперты Zimperium не пытались выяснить, что именно делают такие приложения, вряд ли они без причин так старательно скрываются от анализа и обнаружения.


Исследователи пишут, что ни одного из этих приложений нет в официальном магазине Google Play, но все же перечисляют их хэши в конце своего отчета, чтобы люди, которые загружают приложения из сторонних магазинов и других источников, могли обнаружить и удалить их.


Аналитики компании Zimperium обнаружили, что злоумышленники все чаще полагаются на вредоносные файлы APK для Android, которые не поддаются декомпиляции из-за использования неподдерживаемых, неизвестных или сильно измененных алгоритмов сжатия. Исследователи обратили внимание на эту проблему после недавнего твита Joe Security, в котором рассказывалось об APK-файле, который не поддается анализу, но без проблем работает на устройствах Android. Основное преимущество такого подхода для злоумышленников заключается в том, что такие файлы могут избегать внимания защитных решений, которые полагаются на статический анализ. Кроме того, это затрудняет изучение малвари ИБ-специалистами. Эксперты объясняют, что обычно APK используют формат ZIP в двух режимах: один без сжатия и один с использованием алгоритма DEFLATE. APK-файлы, упакованные с использованием неподдерживаемых или неизвестных методов сжатия, нельзя установить на Android 8 и более ранних версий, однако они будут нормально работать в Android 9 и в более поздних версиях ОС. По данным Zimperium, такие необычные методы антианализа используют более 3300 APK-файлов. Во многих случаях это приводит к сбоям в их работе, однако исследователи выявили 71 вредоносное приложение, которое прекрасно работает в Android 9 (API 28) и более поздних версиях. Аналитики протестировали вредоносные приложения с помощью таких инструментов, как JADX, APKtool и macOS Archive Utility, но не смогли распаковать странные APK ни одним их них. Более того, помимо неподдерживаемых методов сжатия авторы вредоносных APK используют имена файлов, превышающие 256 байт (что вызывает дополнительные сбои в инструментах для анализа), а также повреждают файл AndroidManifest.xml ради обфускации и используют искаженные String Pools. Хотя эксперты Zimperium не пытались выяснить, что именно делают такие приложения, вряд ли они без причин так старательно скрываются от анализа и обнаружения. Исследователи пишут, что ни одного из этих приложений нет в официальном магазине Google Play, но все же перечисляют их хэши в конце своего отчета, чтобы люди, которые загружают приложения из сторонних магазинов и других источников, могли обнаружить и удалить их.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: