APK представляют собой исполняемые архивные файлы. Традиционно Android использует в файлах APK только два метода сжатия: без сжатия, метод STORED или алгоритм сжатия DEFLATE. Хотя поддерживаются только два варианта файлов, поле описывающее метод сжатия, является 16-битным, что означает, что технически можно задать 65 536 методов.
Учитывая это, создатели вредоносных программ могут изменить это поле, чтобы оно было каким угодно, кроме методов STORED или DEFLATE. Это содает проблему для автоматических инструментов и сценариев, используемых для анализа безопасности, поскольку указанные инструменты не могут обрабатывать файлы, которые выглядят как поврежденные. Кроме того, в версиях Android 9 и ниже приложения с неизвестными методами сжатия не устанавливаются, но нормально работают на версиях выше 9.
Таким образом, вредоносные приложения могут эффективно препятствовать попыткам автоматического анализа системы безопасности, но при этом их можно установить в более новых версиях Android. Исследователи обнаружили несколько других методов, таких как использование имен файлов длиннее 256 байт и использование искаженных файлов AndroidManifest.xml. В любом случае, эти методы не обязательно новы, но все еще проблематичны для исследователей, пытающихся отследить вредоносное ПО для Android.
Исследователи Zimperium в конечном итоге нашли 3300 образцов, используя неизвестный или неподдерживаемый метод сжатия для предотвращения анализа. Конечно, многие образцы были повреждены настолько, что операционная система не могла загрузить приложение. Однако было обнаружено, что 71 из этих образцов загружается должным образом, хотя они в настоящее время недоступны и потенциально никогда не будут доступны в магазине Google Play. Считается, что эти приложения будут загружаться с помощью некоторых хитростей, таких как социальная инженерия, что делает их не слишком опасными для обычного пользователя.
