Ribuan Aplikasi Malware Android Menggunakan Kompresi APK Tersembunyi untuk Menghindari Deteksi
19 Agustus 2023Ruang BeritaKeamanan Seluler / Malware
Pelaku ancaman menggunakan file Paket Android (APK) dengan metode kompresi yang tidak diketahui atau tidak didukung untuk menghindari analisis malware.
Hal ini berdasarkan temuan dari Zimperium, yang menemukan 3.300 artefak yang memanfaatkan algoritma kompresi tersebut di alam liar. 71 dari sampel yang teridentifikasi dapat dimuat ke sistem operasi tanpa masalah.
Tidak ada bukti bahwa aplikasi tersebut tersedia di Google Play Store kapan pun, yang menunjukkan bahwa aplikasi tersebut didistribusikan melalui cara lain, biasanya melalui toko aplikasi yang tidak tepercaya atau rekayasa sosial untuk mengelabui korban agar melakukan sideloading aplikasi tersebut.
File APK menggunakan “teknik yang membatasi kemungkinan mendekompilasi aplikasi untuk sejumlah besar alat, sehingga mengurangi kemungkinan untuk dianalisis,” kata peneliti keamanan Fernando Ortega. “Untuk melakukan itu, APK (yang pada dasarnya adalah file ZIP), menggunakan metode dekompresi yang tidak didukung.”
Keuntungan dari pendekatan tersebut adalah kemampuannya untuk menolak alat dekompilasi, namun tetap dapat diinstal pada perangkat Android yang versi sistem operasinya di atas Android 9 Pie.
Perusahaan keamanan siber yang berbasis di Texas mengatakan bahwa mereka memulai analisisnya sendiri setelah postingan dari Joe Security di X (sebelumnya Twitter) pada bulan Juni 2023 tentang file APK yang menunjukkan perilaku ini.
Paket Android menggunakan format ZIP dalam dua mode, satu tanpa kompresi dan satu lagi menggunakan algoritma DEFLATE. Temuan penting di sini adalah APK yang dikemas menggunakan metode kompresi yang tidak didukung tidak dapat diinstal pada ponsel yang menjalankan versi Android di bawah 9, namun berfungsi dengan baik pada versi berikutnya.
Selain itu, Zimperium menemukan bahwa pembuat malware juga sengaja merusak file APK dengan nama file lebih dari 256 byte dan format file AndroidManifest.xml yang salah untuk memicu kerusakan pada alat analisis.
Pengungkapan ini terjadi beberapa minggu setelah Google mengungkapkan bahwa pelaku ancaman memanfaatkan teknik yang disebut pembuatan versi untuk menghindari deteksi malware di Play Store dan menargetkan pengguna Android.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
