Мошенники нашли способ размещать зараженные программы и их не может обнаружить любая антивирусная защита. Как это работает

Уязвимость обнаружили специалисты компании Zimperium zLab, когда установочный файл мобильного приложения не смогли проанализировать большинством средств от декомпиляции. Таким образом, файл APK, по сути являющийся ZIP-архивом упакован неподдерживающимся способом распаковки. Необычный способ реализации механизма ухода от средств защиты даже не пришлось придумывать, программные средства все сделали сами, а встроенная проверка не смогла обнаружить подмену и позволила установить зловреда. Такая особенность была замечена на устройствах с операционной системой Android 9 и выше.

ИТ-специалистам Zimperium получилось обнаружить более 3,3 тысяч мобильных приложений, зараженных таким необычным способом. Встроенный вирусный код невидим всеми известными антивирусными программами, потому как они не смогли подобрать алгоритм сжатия для проверки содержимого. Запакованный APK-файл помечается как безопасное приложение и может попасть в общедоступные файлы в магазине приложений.

До специалистов компании Zimperium странный файл обнаружили сотрудники компании Joe Security. Они пытались распаковать на персональный компьютер заархивированный установочный файл, но он всегда заканчивался с ошибкой. Поэтому они решили провести более серьезный анализ APK-файла. После обнаруженного скрытого в архив кода, сотрудники обнаружили еще около 70 подозрительных установщиков APK с аналогичной проблемой. Все файлы предназначались для операционной системы Android 9 и выше.

Сейчас довольно сложно найти защиту от обнаруженной уязвимости, и скорее всего поможет только загрузка с проверенных источников и официальных магазинов приложений.

Источник: https://www.zimperium.com