File APK: ecco il trucco degli hacker per evitare le scansioni malware

Android è un sistema operativo largamente preso di mira dai criminali informatici e se a ciò abbiniamo che gli antivirus non sono sempre così efficaci, è facile capire perché questo sistema operativo sia potenzialmente pericoloso.

A rendere la situazione ancora più difficile vi è una recente scoperta che riguarda i file APK, un trucco di compressione adottato da alcuni hacker che rende ancora più difficile scansione e rilevamento dei malware.

Secondo il sito BleepingComputer, il metodo è stato individuato per la prima volta da Joe Security, che ha mostrato su Twitter  come un APK possa evitare l’analisi pur funzionando regolarmente su un endpoint Android.

Il tutto è abbastanza semplice: i cybercriminali utilizzano un metodo di compressione poco conosciuto o non supportato, il che rende impossibile la corretta scansione. L’app potenzialmente dannosa, però, è del tutto attiva (perlomeno da Android 9 in poi). In seguito a tale segnalazione e a un relativo controllo, sono stati individuati migliaia e migliaia di file in circolazione che sfruttano questo tipo di trucco.

File APK dannosi? Gli hacker sfruttano diversi piccoli espedienti per evitare gli antivirus

Un rapporto su questo tema preparato da zLab parla di circa 3.300 file APK che possono eludere il rilevamento antivirus: come è facile intuire, a parte rari casi, si tratta di software pericoloso.

L’utente Zimperium, membro della App Defense Alliance, ha poi effettuato ulteriori indagini riguardo questa pratica. Da questa ricerca, è risultata un’altra sconcertante realtà: questo non è l’unico trucco utilizzato dai cybercriminali per eludere le scansioni.

A quanto pare, per esempio, vengono utilizzati nomi file che superano i 256 byte. Ciò causa arresti anomali in molti degli strumenti di analisi. Un’altra tecnica diffusa è quello di manipolare il file AndroidManifest.xml, con il risultato di intralciare le scansioni.

Se un antivirus può essere aggirato o bloccato con questi trucchi, è bene individuare altre tecniche in grado di mitigare i rischi. In questo senso, l’adozione di gestori di password o VPN può risultare utile per contrastare app malevole.

Il consiglio principale per evitare infezioni o contatti con file APK dannosi, resta quello di affidarsi solo agli store ufficiali, evitando app di dubbia provenienza.