Pesquisadores descobriram uma nova versão de um malware para Android que se destaca por usar técnicas avançadas para escapar da detecção enquanto realiza fraudes publicitárias em escala global. Essa ameaça se esconde dentro de aplicativos aparentemente legítimos, mas esconde códigos maliciosos por trás de manipulações sofisticadas nos arquivos ZIP que compõem os pacotes de instalação.
Essa versão do malware manipula a estrutura interna do arquivo APK para enganar ferramentas de análise. Por exemplo, ele altera flags específicas no cabeçalho ZIP para parecer que o arquivo está criptografado, mesmo quando não está. Isso faz com que os programas usados para investigar o app peçam senha para descompactar e, com isso, impedem a inspeção mais profunda do código. Além disso, o malware declara métodos de compressão inexistentes que fazem as ferramentas travarem, enquanto o sistema Android aceita e instala o app normalmente.
Outra técnica usada envolve a carga dinâmica de código oculto e criptografado, que só é revelado durante a execução do aplicativo. Assim, o malware esconde dentro do pacote arquivos que só aparecem no momento em que o app está rodando, dificultando ainda mais a análise. O código malicioso aproveita serviços legítimos de publicidade para exibir anúncios fraudulentos, carregar novos módulos e se comunicar com servidores controlados por criminosos. O app malicioso oculta seu ícone e nome no sistema, dificultando que o usuário perceba sua presença e o remova. Com isso, ele consegue se manter ativo por longos períodos e gerar receita ilícita. Essa evolução mostra como cibercriminosos aprimoram constantemente suas táticas para burlar mecanismos de segurança tradicionais e continuar operando de forma invisível nos dispositivos móveis.
