Un utente noto come Zimperium, membro della App Defense Alliance, ha individuato una serie di file APK dannosi che, a quanto pare, riescono ad aggirare gli antivirus.
Secondo i dati finora raccolti, questi file utilizzano algoritmi di decompressione poco conosciuti o appositamente modificati affinché i software non riescano a controllare cosa si nasconde al loro interno.
Ciò comporta un vantaggio nel momento stesso dell'infezione, con i malware che si trovano la strada spianata per operare in libertà. Allo stesso tempo, un alto livello di elusività permette ai cybercriminali di avere più tempo a disposizione, rendendo difficili le analisi degli esperti di sicurezza.
Una ricerca approfondita di zLap ha confermato i sospetti di Zimperium, individuando ben 3.300 APK che utilizzano soluzioni di questo tipo. Nonostante nessuna delle app coinvolte riguardi Play Store, ciò dimostra quanto non affidarsi agli store ufficiali rappresenti un potenziale pericolo per qualunque utente.
Compressioni "alternative" e altri trucchetti dei cybercriminali: ecco come aggirano gli antivirus Android
Quando si parla di file APK in ambiente Android, è bene considerare che questi utilizzano il formato ZIP in due modi. Uno considera l'utilizzo dell'algoritmo DEFLATE, mentre il secondo non presenta sostanziali compressione.
La scelta di standard meno diffusi (come JADX, APKtool e macOS Archive Utility), test alla mano, non vengono adeguatamente decompressi dagli strumenti di scansione. Ciò significa che l'APK, e gli eventuali agenti malevoli al suo interno, non può essere bloccato.
Tutto ciò diventa ancora più pericoloso se, come affermato da Zimperium, questa tecnica viene abbinata ad altri trucchi comuni tra i cybercriminali. L'utilizzo di nomi file che superano i 256 byte o la corruzione di file AndroidManifest.xml, possono rendere ancora più difficile per gli antivirus l'analisi di un file APK.
Come evitare rischi di questo tipo
Poiché gli APK scaricati dall'esterno di Google Play non possono essere controllati preventivamente, il modo migliore per proteggersi da queste minacce è innanzitutto evitare APK a prescindere.
In caso di estrema necessità, è consigliato comunque di effettuare una scansione con antivirus professionali, aggiornati giusto poco prima del loro utilizzo. Come appare logico, poi, è bene considerare con attenzione quali sono le autorizzazioni richieste dall'app installata: se queste appaiono esagerate o fuori luogo, è bene non concederle.
Infine, per gli utenti più prudenti, il consiglio è di evitare rooting preventivi del dispositivo. Questo tipo di intervento, infatti, in molti contesti può facilitare le azioni malevoli dei cybercriminali.