大量的Android恶意软件通过未知压缩方法绕过恶意软件分析

最新的网络安全观察中，威胁参与者正在使用具有未知或不受支持的压缩方法的 Android 包 (APK) 文件来逃避恶意软件分析。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，安全研究机构在野发现了 3300 个利用此类压缩算法的工件。其中 71 个已识别样本可以毫无问题地加载到操作系统上。

没有证据表明这些应用程序在任何时间点都可以在 Google Play 商店上使用，这表明这些应用程序是通过其他方式分发的，通常是通过不受信任的应用程序商店或社交工程来欺骗受害者旁加载它们。

安全研究人员表示，APK 文件使用一种技术，限制了大量工具反编译应用程序的可能性，从而减少了被分析的可能性。为了做到这一点，APK（本质上是一个 ZIP 文件）正在使用不受支持的解压缩方法。

这种方式的优点是能够抵抗反编译工具，同时仍然能够安装在操作系统版本为Android 9 Pie以上的Android设备上。

Android 包以两种模式使用 ZIP 格式，一种不压缩，一种使用 DEFLATE 算法。这里的关键发现是，使用不受支持的压缩方法打包的 APK 无法安装在运行低于 9 的 Android 版本的手机上，但它们可以在后续版本上正常运行。

安全研究人员发现恶意软件作者还故意通过使用超过 256 字节的文件名和格式错误的 AndroidManifest.xml 文件来破坏 APK 文件，以触发分析工具崩溃。