Katala kikka yleistyy Android-sovelluksissa: näin jopa tuhansien sovellusten sisältämät haittaohjelmat piiloutuvat valvovilta silmiltä

Haittaohjelmien kehittäjät pyrkivät entistä useammin pitämään Android-sovelluksina levittämiensä ohjelmien todellisen luonteen piilossa muun muassa hyödyntämällä sovelluksissa pakkausalgoritmeja, joita ei tueta tai tunneta laajasti tai joita on muokattu alkuperäisestä.

Kikan tavoitteena on välttää tietoturvatyökaluja havaitsemasta haittaohjelman toimintaan liittyviä yksityiskohtia ja vaikeuttaa näin tietoturvatutkijoiden työtä.

Tietoturvayhtiö Zimperium tutki ilmiötä sen jälkeen, kun Joe Securityn julkaisu X-palvelussa nosti esiin Android-sovelluksen APK-asennustiedoston, joka on suunniteltu välttämään ulkopuolista tarkastelua, mutta toimii kuitenkin itse Android-laitteissa.

Zimperiumin zLabin raportin mukaan se löysi yli 3 300 Android APK -sovellustiedostoa, joissa hyödynnetään poikkeuksellisia niiden toiminnan tutkimista estäviä ratkaisuja. Nykyisissä Android-käyttöjärjestelmäversioissa osa tavoista voi johtaa sovelluksen kaatumiseen, mutta tietoturvatutkijat löysivät kuitenkin 71 haitallista Android-sovellusta, jotka toimivat yhä Android 9 Pie -versiossa ja uudemmissa.

Zimperiumin mukaan sen löytämiä sovelluksia ei kuitenkaan ole jakelussa Google Play -kaupassa. Muissa sovelluskaupoissa ja verkossa näitä haitallisia sovelluksia voidaan kuitenkin jakaa. Zimperium on jakanut alta löytyvän listauksen sen löytämien haitallisten sovellusten teknisistä nimistä.

Android 8:ssa ja vanhemmissa versioissa pakkausalgoritmeilla, joita ei tueta tai tunneta, varustetut sovellukset eivät toimineet, mutta Android 9:stä alkaen ne ovat toimineet. Tällaisten pakkausalgoritmien ohella Zimperium havaitsi haittaohjelmien pyrkivän välttämään tarkastelua myös esimerkiksi hyödyntämällä tiedostonimiä, joiden pituus ylittää 256 tavua ja johtaa näin analyysityökalujen kaatumiseen, sekä AndroidManifest.xml-tiedoston korruptoimista ja muita tapoja estää niiden tutkimista.

Yksittäisen käyttäjän kannalta jälleen kerran tärkeä huomio on, että Android-laitteissa haittaohjelmilta suojautumisen kanssa on jo pitkällä, kun ei lataa sovelluksia ikinä muualta kuin vain Google Playsta.

Zimperiumin jakama listaus sen löytämien haittasovellusten teknisistä nimistä

• com.freerdplalobydarkhack.con
• package.name.suffix
• com.google.android.inputmethod.latia
• numeric.contents.desktor
• health.karl.authority
• charlie.warning.professional
• imperial.xi.asia
• turner.encouraged.matches
• insta.pro.prints
• com.ace.measures
• eyes.acquisition.handed
• xhtml.peripherals.bs
• com.google.services
• google.clood.suffix
• friends.exec.items
• com.deveops.frogenet.service
• com.yc.pfdl
• publicity.inter.brooklyn
• consist.prior.struck
• disaster.considering.illinois
• splash.app.main
• labeled.configuring.servies
• regarded.editors.association
• com.appser.verapp
• widely.sharp.rugs
• handmade.catalogs.urgent
• com.gem.holidays
• lemon.continental.prince
• com.koi.tokenerror
• cmf0.c3b5bm90zq.patch
• com.ilogen.com
• one.enix.smsforward
• com.app.app
• per.hourly.wiki
• com.mobihk.v
• com.gmail.net
• broadway.ssl.seasonal
• Fees.abc.laugh
• tjb0n81d.j9hqk.eg0ekih
• 9fji8.pgzckbu7.nuputk
• bullet.default.til
• factor.apnic.constitutes

What is the best way to bypass #Malware analysis on #Android? Checkout the local and central Zipfile header of APK 2f371969faf2dc239206e81d00c579ff and tell us what you see. We tested various tools and they all failed. https://t.co/WZoAggsnMy pic.twitter.com/cItKYyN2eq

— Joe Security (@joe4security) June 28, 2023

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla