แอพมัลแวร์ Android นับพันใช้การบีบอัด APK ที่ซ่อนเร้นเพื่อหลบเลี่ยงการตรวจจับ

นักโจรกรรมข้อมูลกำลังใช้ไฟล์ Android Package (APK) ที่ใช้วิธีการบีบอัดที่ไม่รู้จักหรือไม่รองรับเพื่อหลีกเลี่ยงการวิเคราะห์ว่าเป็นมัลแวร์

ตามความสรุปจากการสำรวจของ Zimperium ซึ่งพบว่ามีแอพผิดปกติจำนวนถึง 3,300 รายการที่ใช้วิธีการบีบอัดแบบนี้ และมีตัวอย่าง 71 รายการที่พบว่าสามารถโหลดลงบนระบบปฏิบัติการได้โดยไม่มีปัญหา หรือการแจ้งเตือนว่าเป็นมัลแวร์ใด ๆ

ยังไม่มีหลักฐานใด ๆ ที่แสดงให้เห็นว่าแอปพลิเคชันเหล่านี้มีให้บริการบน Google Play Store เมื่อใดก็ตามแสดงให้เห็นว่าแอปพลิเคชันถูกกระจายผ่านทางช่องทางอื่น ๆ โดยทั่วไปจะเป็นผ่านร้านค้าแอปที่ไม่น่าเชื่อถือหรือผ่านเทคนิคการล่อให้เหยื่อโหลดแอปมาติดตั้งเอง (sideload)

ไฟล์ APK ใช้ “เทคนิคที่จำกัดโอกาสในการถอดรหัสแอปพลิเคชันโดยใช้เครื่องมือจำนวนมาก ลดโอกาสในการวิเคราะห์,” นักวิจัยด้านความปลอดภัย Fernando Ortega กล่าว. “เพื่อทำเช่นนั้น ไฟล์ APK (ซึ่งเป็นหลักการแล้วก็คือไฟล์ ZIP) ใช้วิธีการถอดรหัสที่ไม่รองรับ.”

ข้อได้เปรียบในการใช้เทคนิคนี้คือความสามารถในการต้านทานเครื่องมือในการถอดรหัส พร้อมทั้งยังสามารถติดตั้งบนอุปกรณ์แอนดรอยด์ที่ใช้ระบบปฏิบัติการเวอร์ชัน Android 9 Pie ขึ้นไป

บริษัทความปลอดภัยจาก Tเต็กซัสได้รายงานว่าเริ่มต้นการวิเคราะห์ของตนหลังจากโพสต์จาก Joe Security บน X (ก่อนหน้านี้คือ Twitter) เมื่อเดือนมิถุนายน ค.ศ. 2023 เกี่ยวกับไฟล์ APK ที่แสดงพฤติกรรมนี้

นอกจากนี้ Zimperium ยังค้นพบว่าผู้เขียนมัลแวร์ยังจงใจทำให้ไฟล์ APK เสียหายด้วยการตั้งชื่อไฟล์ที่มีมากกว่า 256 ไบต์และไฟล์ AndroidManifest.xml ที่มีรูปแบบไม่ถูกต้องเพื่อทริกเกอร์แครชในเครื่องมือวิเคราะห์

การเปิดเผยดังกล่าวมีขึ้นหลังจาก Google เปิดเผยว่าผู้คุกคามกำลังใช้เทคนิคที่เรียกว่าการกำหนดเวอร์ชันเพื่อหลบเลี่ยงการตรวจจับมัลแวร์ของ Play Store และกำหนดเป้าหมายไปยังผู้ใช้ Android

Credit: https://thehackernews.com/2023/08/thousands-of-android-malware-apps-using.html