APK-вредоносы для Android используют хитрое сжатие для ухода от анализа

Екатерина Быстрова 18 Августа 2023 - 11:39

...

APK-вредоносы для Android используют хитрое сжатие для ухода от анализа

Злоумышленники распространяют вредоносные APK-файлы для Android, которые препятствуют декомпиляции, используя неподдерживаемые, неизвестные или серьёзно модифицированные алгоритмы сжатия.

Для авторов вредоносных приложений этот подход выгоден тем, что позволяет уйти от детектирования с помощью статистического анализа и усложнить исследователям анализ APK-файлов.

Компания Zimperium, не раз уделявшая много внимания проблеме зловредов в Google Play Store, изучила уловки киберпреступников, пытающихся уйти от декомпиляции их файлов.

Отправной точкой послужил твит Joe Security, в котором демонстрировался APK, уходящий от анализа, но прекрасно работающий на Android устройствах.

В отчёте zLab приводится цифра — 3300. Именно столько APK, по данным специалистов, используют нетипичные методы ухода от анализа, которые часто могут приводить к сбою в их работе. Тем не менее 71 вредоносный APK-файл успешно функционировал в Android версии 9 и выше при использовании методов антианализа.

Исследователи из Zimperium уточнили, что ни одно из этих приложений не представлено в Google Play Store. Эксперты даже оставили список из хешей этих программ, чтобы любители скачать софт со сторонних площадок не попались на вредонос.

Файлы в формате APK используют ZIP в двух режимах: без сжатия и с использованием алгоритма DEFLATE. Если установочный файл будет применять неизвестные или неподдерживаемые методы сжатия, его нельзя будет использовать на Android 8 и более старых версиях ОС.

Однако Android 9 и выше прекрасно прочитают такие файлы. Например, в Zimperium протестировали JADX, APKtool и родную утилиту macOS для упаковки. Ни один из таких файлов не поддаётся анализу.

Более того, авторы зловредных APK используют превышающие 256 байтов имена, что приводит к сбою в работе инструментов анализа.

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 03 Февраля 2026 - 20:52

Общее

Документация на микроконтроллер Baikal-U стала общедоступна

«Байкал Электроникс» запустила публичный информационный портал с полной технической документацией на серийный микроконтроллер Baikal-U (BE-U1000). Теперь все ключевые материалы — от даташитов и SDK до схем, reference design плат и API — доступны открыто, без запросов, согласований и лишней бюрократии.

По сути, компания открыла весь базовый набор, который обычно нужен для старта разработки и интеграции микроконтроллера в реальные проекты.

Идея простая: сократить время входа, упростить жизнь инженерным командам и сделать работу с Baikal-U более предсказуемой и удобной — как для технологических партнёров, так и для независимых разработчиков, образовательных проектов и сообществ.

Портал планируют развивать и дальше. Со временем там должны появляться новые практические примеры использования микроконтроллера, прикладные заметки и кейсы, а также доработки интерфейса и навигации на основе обратной связи от пользователей.

Baikal-U (BE-U1000) — универсальный отечественный микроконтроллер на базе российских RISC-V-ядер CloudBEAR. Он рассчитан на индустриальные сценарии, включая применение на объектах критической информационной инфраструктуры.

Среди типовых областей использования — роботизированные комплексы АСУ ТП, датчики безопасности, приборы учёта, устройства ввода-вывода и решения для интернета вещей. За счёт встроенных функций управления электродвигателями и высокой энергоэффективности микроконтроллер может применяться и в системах управления беспилотными летательными аппаратами.

Генеральный директор «Байкал Электроникс» Андрей Евдокимов отметил, что компания сознательно решила изменить подход к взаимодействию с разработчиками и убрать избыточные барьеры. По его словам, открытая документация должна упростить работу с продуктами компании и помочь развитию экосистемы чипов Baikal в целом — в том числе за счёт обратной связи от инженерного сообщества.

В итоге запуск портала выглядит как попытка сделать российский микроконтроллер более «приземлённым» для практического использования — без закрытых архивов, долгих переписок и ограниченного доступа к базовой технической информации.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »