Quando iniciado, o aplicativo solicita uma configuração com dois parâmetros, o principal MQTT, do servidor, cujo endereço é uma constante codificada.algoritmo não marquivo libziparchive
No entanto, em vez de usar essa função, os desenvolvedores do Android optaram por implementar um cenário alternativo, onde o valor do campo do método de compressão é validado incorretamente.Este arquivo contém informações sobre os componentes declarados, permissões e outros dados do aplicativo, e ajuda o sistema operacional a recuperar informações sobre vários pontos de entrada do aplicativo.Assim como o sistema operacional, o analista começa inspecionando o manifesto para encontrar os pontos de entrada, que é onde a análise de código deve iniciar.A família de malware soumnibot, por exemplo, o arquivo FA8B1592C9CDA268D8AFFB6BCEB7A120, também usou essa técnica.
Fonte: https://securelist.com/soumnibot-android-banker-obfuscates-app-manifest/112334/
