Applications malveillantes Android : de nouvelles techniques furtives pour échapper à la détection
Bien que Google ait pris des mesures sérieuses pour lutter contre la propagation des applications malveillantes Android, les pirates trouvent toujours de nouvelles façons de contourner les mesures de sécurité. Suite à une publication de Joe Security, l'équipe de recherche de Zimperium a analysé, courant août, des milliers d'applications malveillantes et découvert une nouvelle méthode de compression, inconnue jusqu'alors, permettant de dissimuler des malwares dans les fichiers APK. Une grande partie des APK analysés n'ont pas pu être installés et ont été détruits mais 71 des échantillons fonctionnaient parfaitement sur Android OS 9 et ultérieurs.
En effectuant une recherche rétroactive sur les dépôts d'applications publiques, les experts de Zimperium ont découvert 3 300 échantillons utilisant une méthode de compression inconnue, rendant les malwares indétectables sur les appareils Android. Bien que la majorité de ces APK aient été trop corrompus pour qu'Android puissent les charger, 71 d'entre eux ont fonctionné sur Android OS versions 9 (API 28) et ultérieures.
En termes techniques, ces nouvelles applications malveillantes Android utilisent des algorithmes de compression fortement manipulés (STORED ou DEFLATE) ou non pris en charge. Cette méthode assez méconnue, leur permet de se comporter comme des applications normales et ainsi de contourner toutes les mesures de sécurité.
D'autres tactiques ont également été identifiées : l'une consiste à utiliser des noms de fichiers qui dépassent la limite de 256 octets, provoquant délibérément des plantages dans les outils d'analyse, d'autres permettent de manipuler les fichiers AndroidManifest.xml ou d'utiliser des pools de chaînes mal formés pour perturber les outils qui gèrent les fichiers XML Android.
Aucune de ces applications n'étant disponible sur le PlayStore de Google, il est probable que la méthode de distribution ait été effectuée par l'intermédiaire de magasins tiers ou source extérieure ou en incitant l'utilisateur à charger l'application via des pratiques d'ingénierie sociale ou attaques par phishing.