Исследование компании Zimperium показало, что новый вид вредоносного ПО для Android умело маскируется от антивирусных программ, используя необычный метод антианализа для файлов Android Package (APK), что делает его практически невидимым для большинства антивирусов.

Источник изображения: neotam / Pixabay

Zimperium, специализирующаяся на вопросах кибербезопасности, обнаружила, что вредоносные файлы противостоят декомпиляции (процессу, который антивирусы используют для выявления подозрительного кода) с помощью нестандартных или сильно модифицированных алгоритмов сжатия. Так как этот метод пока неизвестен антивирусным программам, вредоносное ПО может маскироваться под обычное приложение, полностью обходя защиту смартфона.

Отчёт Zimperium, опубликованный на этой неделе, указывает на 3 300 APK-файлов, использующих подобный способ сжатия. Из них 71 APK-файл успешно запускается и работает на Android 9 и старше. Zimperium не нашла доказательств того, что приложения, связанные с обнаруженными вредоносными APK-файлами, когда-либо размещались в Google Play Маркет.

Это указывает на то, что их распространение происходило иными путями, например, через сторонние магазины приложений или путём ручной установки пользователем. Хотя это тревожная новость для владельцев Android-смартфонов, тем не менее, основному риску подвергаются те пользователи, кто устанавливает приложения не из официальных магазинов.

Многие годы магазин приложений Google Play требовал от разработчиков регулярно обновлять приложения, добавляя новейшие функции и меры безопасности Android. Но уже загруженные ранее старые приложения продолжали работать, равно как новейшая версия не нужна для установки ПО через файл APK. Теперь же для работы в Android 14 приложению будет необходима, как минимум, поддержка API Android 8 -й версии — множество старых приложений работать перестанут.

Источник изображения: 9to5Google

До этого момента минимальные требования к уровню API применялись только к приложениям, впервые загружаемым из Google Play. При этом пользователи имели возможность обойти ограничение и установить любое старое приложение, загрузив APK-файл вручную. Точно так же, если приложение для Android не обновлялось с момента изменения рекомендаций, магазин приложений Google предоставлял его тем, кто уже устанавливал его раньше.

Согласно недавно опубликованному изменению кода, Android 14 ужесточает требования к API, полностью блокируя установку устаревших приложений. Это изменение заблокирует загрузку в том числе и определённых APK-файлов пользователями, а также запретит устанавливать устаревшие приложения через магазин приложений.

Первоначально устройства Android 14 будут блокировать только приложения, предназначенные для особенно старых версий Android. Однако со временем планируется повысить порог до Android 6.0 (Marshmallow), при этом у Google разработан механизм для постепенного повышения требований. Тем не менее, скорее всего, каждый производитель устройств будет самостоятельно выбирать порог для устаревших приложений. Заметим, что для попадания в Play Маркет теперь приложению необходимо будет иметь API Android 12.

При включённом ограничении минимальной устанавливаемой версии SDK, будет блокироваться установка приложений, использующих более низкую целевую версию SDK. Это поможет повысить безопасность и конфиденциальность, поскольку вредоносное ПО может пытаться использовать старые версии SDK, чтобы обойти требования нового API.

Блокируя устаревшие приложения, Google намерена сдержать распространение вредоносных программ на Android. Разработчики отмечают, что многие вредоносные приложения намеренно нацелены на более старые версии Android, чтобы обходить определённые средства защиты, применяемые только к более новым приложениям. Тем не менее, возможность установить устаревшее приложение всё равно будет доступна через командную строку. Учитывая необходимые для этого действия, крайне маловероятно, что кто-то сделает это по ошибке и непреднамеренно установит вредоносное ПО.