En effectuant une recherche rétroactive sur les dépôts d’applications publiques, les experts de Zimperium ont découvert 3 300 échantillons utilisant une méthode de compression inconnue, rendant les malwares indétectables sur les appareils Android. Bien que la majorité de ces APK aient été trop corrompus pour qu’Android puissent les charger, 71 d’entre eux ont fonctionné sur Android OS versions 9 (API 28) et ultérieures.

En termes techniques, ces nouvelles applications malveillantes Android utilisent des algorithmes de compression fortement manipulés (STORED ou DEFLATE) ou non pris en charge. Cette méthode assez méconnue, leur permet de se comporter comme des applications normales et ainsi de contourner toutes les mesures de sécurité.
D’autres tactiques ont également été identifiées : l’une consiste à utiliser des noms de fichiers qui dépassent la limite de 256 octets, provoquant délibérément des plantages dans les outils d’analyse, d’autres permettent de manipuler les fichiers AndroidManifest.xml ou d’utiliser des pools de chaînes mal formés pour perturber les outils qui gèrent les fichiers XML Android.

Aucune de ces applications n’étant disponible sur le PlayStore de Google, il est probable que la méthode de distribution ait été effectuée par l’intermédiaire de magasins tiers ou source extérieure ou en incitant l’utilisateur à charger l’application via des pratiques d’ingénierie sociale ou attaques par phishing.