Nuevo Malware Android Evade La Deteccion Con Un Ingenioso Truco

Nuevo Malware Android Evade la Detección con un Ingenioso Truco

Resumen: Los investigadores de ciberseguridad están observando un creciente número de aplicaciones maliciosas de Android que logran evitar ser detectadas por software antivirus móvil. El truco radica en el método de compresión del APK (Android Package).

Android Comprimido

El Ingenioso Método de Compresión

Las aplicaciones maliciosas están utilizando un método de compresión desconocido o no soportado. Al hacerlo, los investigadores (y, en última instancia, los programas AV) no pueden descomprimir el APK para analizarlo y, por lo tanto, no pueden considerar una aplicación como maliciosa.

Sin embargo, el sistema operativo Android (específicamente Android 9 y versiones más recientes) no tiene problemas para ejecutar estas aplicaciones. Las versiones más antiguas de Android no admiten estas aplicaciones.

Miles de APKs en Circulación

Según BleepingComputer, el método fue detectado por primera vez por Joe Security, que demostró en Twitter cómo un APK evita ser analizado pero aún se ejecuta normalmente en un dispositivo Android.

Tweet De Joe Security

Zimperium y zLab también investigaron el fenómeno. El informe más reciente de zLab indica que actualmente hay alrededor de 3,300 APKs evadiendo la detección de esta manera.

Zimperium Logo

La buena noticia es que ninguna de estas aplicaciones se encuentra en la Google Play Store. Esto significa que se distribuyen a través de otros canales, lo que dificulta su seguimiento y eliminación.

Recomendaciones para los Usuarios

El informe de Zimperium proporciona una lista de hashes de aplicaciones, lo que permite a los usuarios identificar si tienen alguna de las aplicaciones maliciosas instaladas en sus dispositivos.

Se recomienda encarecidamente desinstalar estas aplicaciones y escanearlas con una aplicación antivirus de Android después para asegurarse de que no queden rastros maliciosos.

Además, se aconseja a los usuarios que sean especialmente cautelosos con las aplicaciones que solicitan permisos extraordinarios.

Otros Métodos de Evasión

No solo se utiliza el método de compresión para evitar el análisis. Zimperium señala que los APKs vienen con nombres de archivo de más de 256 bytes, lo que provoca que las herramientas de análisis se bloqueen.

Además, el archivo AndroidManifest.XML está corrompido y los String Pools están mal formados.

Nombre De Archivo Excesivamente Largo (Arriba), Encabezado De Grupo De Cadenas Mal Formado (Abajo)

Este nuevo método de evasión destaca la importancia de mantenerse informado y ser cauteloso al descargar aplicaciones, especialmente de fuentes desconocidas.

Es esencial contar con herramientas de seguridad actualizadas y seguir las recomendaciones de expertos en ciberseguridad para proteger nuestros dispositivos y datos.