Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection
223/08/19 TheHackerNews — マルウェア解析を逃れる脅威アクターたちが、未知の圧縮方法を用いる Android Package (APK) ファイルを使用しているという。Zimperium の調査結果によると、このような圧縮アルゴリズムを利用した 3,300件のアーティファクトが、野放し状態で活動していることが判明したという。確認されたサンプルのうち 71件は、何の問題もなく Android にロードできるようだ。
これらのアプリが、Google Play ストアで入手可能だったという証拠は無い。したがって、信頼されていないアプリ・ストアや、被害者を騙してサイドロードさせるソーシャルエンジニアリングを通じて、配布されたことが示唆される。
セキュリティ研究者である Fernando Ortega は、「それらの問題の APK ファイルには。アプリケーションを逆コンパイルする可能性を制限し、解析される可能性を低減するテクニックが使われている。つまり、それらの APK ファイル、サポートされていない解凍方法を使用している」と指摘している。
このような手法のメリットとしては、逆コンパイル・ツールに対する耐性がある一方で、OS バージョンが Android 9 Pie 以上の Android デバイスにインストール可能という点がある。
テキサスを拠点とする Zimperium は、2023年6月の時点で X (以前の Twitter) で Joe Security が、このような挙動を示す APK ファイルについて投稿していたが、その後に独自の分析を開始したと述べている。
Android のパッケージは、圧縮なしのモードと、DEFLATE アルゴリズムを用いるモードで、ZIP 形式を使用している。ここでの重要な発見は、サポートされていない圧縮方法を用いてパックされた APK は、Android Ver 9 以下のデバイスにはインストールできないが、それ以降 (Ver 10) のバージョンでは正常に動作するということだ。
さらに Zimperium は、このマルウェアの作者が、256 Byte を超えるファイル名や、不正な形式の AndroidManifest.xml ファイルを用いて、APK ファイルを意図的に破損させ、解析ツールのクラッシュを引き起こしていることも発見した。
先日には Google が、Play ストアのマルウェア検出を回避する脅威アクターが、Android ユーザーを標的にするために、バージョニングと呼ばれるテクニックを活用していることを明らかにしていた。その数週間後に、今回の情報が開示された。
未知の圧縮アルゴリズムを利用した 3,300件のマルアプリが、野放し状態で活動しているとのことですが、Google Play ストアで入手可能だったという証拠はないようです。最近の Android に関するトピックとしては、2023/08/08 の「Google Play の 43種類の Android アプリ:画面 OFF 時に広告を読み込んで稼いでいる」や、2023/07/29 の「Android マルウェアの新たな手口:OCR を悪用してキャプチャ画像から機密情報を窃取」などがあります。よろしければ、Android で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.