Bedrohungsakteure verwenden Android Package (APK)-Dateien mit unbekannten oder nicht unterstützten Komprimierungsmethoden, um eine Malware-Analyse zu umgehen. Eine Untersuchung von Zimperium ergab, dass 3.300 Artefakte solche Kompressionsalgorithmen nutzen. 71 der identifizierten Muster können ohne Probleme auf dem Betriebssystem geladen werden. Es gibt keine Hinweise darauf, dass die Apps jemals im Google Play Store erhältlich waren, was darauf hindeutet, dass sie über andere Wege verbreitet wurden, in der Regel über nicht vertrauenswürdige App-Stores oder Social Engineering, um die Opfer zum Sideloading zu bringen.
Die APK-Dateien nutzen „eine Technik, die die Möglichkeit der Dekompilierung der Anwendung mit vielen Tools einschränkt und die Analysemöglichkeiten reduziert“, sagt der Sicherheitsforscher Fernando Ortega. „Dazu nutzt die APK (eine ZIP-Datei im Wesentlichen) eine nicht unterstützte Dekomprimierungsmethode.“ Der Vorteil dieser Methode besteht darin, dass sie sich gegen Dekompilierungswerkzeuge wehren kann, während sie immer noch auf Android-Geräten mit Betriebssystemversionen über Android 9 Pie installiert werden kann.
Das in Texas ansässige Cybersicherheitsunternehmen begann seine eigene Analyse, nachdem im Juni 2023 ein Post von Joe Security auf Twitter über eine APK-Datei veröffentlicht wurde, die dieses Verhalten zeigte.
Android-Pakete verwenden das ZIP-Format in zwei Modi, einen ohne Komprimierung und einen mit dem DEFLATE-Algorithmus. Die entscheidende Erkenntnis hier ist, dass mit nicht unterstützten Kompressionsmethoden verpackte APKs nicht auf Handys mit Android-Versionen unter 9 installierbar sind, aber auf späteren Versionen einwandfrei funktionieren.
Zusätzlich entdeckte Zimperium, dass Malware-Autoren die APK-Dateien absichtlich korrupt machen, indem sie Dateinamen mit mehr als 256 Bytes und fehlerhafte AndroidManifest.xml-Dateien verwenden, um Abstürze in Analysetools auszulösen.
Die Veröffentlichung erfolgt Wochen nachdem Google enthüllte, dass Bedrohungsakteure eine Technik namens Versioning nutzen, um die Malware-Erkennung im Play Store zu umgehen und Android-Nutzer anzugreifen.