🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Hàng nghìn ứng dụng Android độc hại đang sử dụng tệp APK với các phương pháp nén mới để tránh bị phát hiện

21/08/2023

Các tác nhân đe dọa đang sử dụng các tệp phần mềm Android (APK) với các phương pháp nén mới chưa được xác định hoặc không được hỗ trợ để tránh bị phân tích bởi các công cụ chống mã độc.

Theo Zimperium, công ty bảo mật đã phát hiện 3.300 phần mềm (artifact) sử dụng các thuật toán nén như vậy trong thực tế, 71 trong số các mẫu được xác định có thể được tải trên hệ điều hành mà không gặp bất kỳ sự cố nào.

Không có bằng chứng nào cho thấy các ứng dụng này đã từng tồn tại trên Cửa hàng Google Play, điều này cho thấy các ứng dụng này đã được phân phối qua các phương tiện khác, thường là qua các cửa hàng ứng dụng không đáng tin cậy hoặc social engineering để lừa nạn nhân tải chúng xuống.

Nhà nghiên cứu bảo mật Fernando Ortega cho biết các tệp APK sử dụng "một kỹ thuật hạn chế khả năng dịch ngược (decompiling) ứng dụng cho một số lượng lớn công cụ, nhằm làm giảm khả năng bị phân tích". "Để làm được điều đó, APK (về bản chất là tệp ZIP), đang sử dụng phương pháp giải nén không được hỗ trợ."

Ưu điểm của cách tiếp cận này là khả năng chống lại các công cụ decompilation, trong khi vẫn có thể cài đặt trên các thiết bị Android có phiên bản hệ điều hành cao hơn Android 9 Pie.

Các gói Android sử dụng định dạng ZIP ở hai chế độ, một chế độ không nén và một chế độ sử dụng thuật toán DEFLATE. Phát hiện đáng chú ý là các APK được đóng gói (packed) bằng các phương pháp nén không được hỗ trợ không thể cài đặt được trên thiết bị di động chạy phiên bản Android dưới 9, nhưng chúng hoạt động bình thường trên các phiên bản mới hơn.

Ngoài ra, Zimperium còn phát hiện ra rằng các tác giả phần mềm độc hại cũng đang cố tình làm hỏng các tệp APK bằng cách đặt tên tệp dài hơn 256 byte và tệp AndroidManifest.xml không đúng định dạng để gây ra sự cố trên các công cụ phân tích.

Tiết lộ này được đưa ra vài tuần sau khi Google tiết lộ rằng các tác nhân đe dọa đang lạm dụng một kỹ thuật gọi là ‘versioning’ để trốn tránh việc phát hiện phần mềm độc hại trên Play Store và nhắm mục tiêu vào người dùng Android.

Nguồn: thehackernews.com.

scrolltop