برنامج Konfety الخبيث للهواتف المحمولة
كشف باحثو الأمن السيبراني عن نسخة متطورة من برنامج Konfety الخبيث سيئ السمعة الذي يستهدف نظام أندرويد، والذي يستغل الآن تقنية التوأم الشرير لتنفيذ عمليات احتيال إعلانية واسعة النطاق. تُبرز هذه الطريقة التعقيد المتزايد للتهديدات التي تستهدف أنظمة الهواتف المحمولة.
جدول المحتويات
شرح استراتيجية التوأم الشرير
يتضمن النهج المُتبع حديثًا إنشاء نسختين من تطبيق يتشاركان اسم الحزمة نفسه. إحداهما تطبيق شرعي وسليم، وغالبًا ما يتوفر على متجر جوجل بلاي، بينما تُوزّع النسخة الخبيثة، "التوأم الشرير"، من خلال مصادر خارجية. والجدير بالذكر أنه ليس من الضروري أن يكون التطبيق الوهمي صادرًا عن المهاجمين أنفسهم؛ ففي كثير من الحالات، يكون تطبيقًا أصليًا موجودًا بالفعل على متجر جوجل بلاي. الشرط الوحيد هو أن يستخدم الإصدار الخبيث اسم الحزمة نفسه، مما يُساعد على إخفاء وجوده.
القدرة على التكيف والتقنيات المتقدمة
أظهر مُطوّرو Konfety قدرةً فائقةً على التكيف، حيث يُغيّرون شبكات الإعلانات المُستهدفة باستمرار، ويُحسّنون أساليبهم لتجنب الكشف. ويزيد الإصدار الأحدث من هذا التلاعب ببنية ملف ZIP الخاص بملف APK. باستخدام ملفات APK مشوّهة، يتجاوز المُهاجمون فحوصات الأمان ويُعقّدون جهود الهندسة العكسية. يُحمّلون حمولة Dalvik Executable (DEX) الرئيسية ديناميكيًا أثناء التشغيل، مع تفعيل علامة ZIP مُحدّدة تُضلّل النظام وتُوحي بأن الملف مُشفّر. يُنشئ هذا مُطالبة زائفة بكلمة مرور أثناء الفحص، مما يمنع المُحللين من الوصول إلى محتوياته.
حيل الضغط وتحليل الاضطراب
في طبقة أخرى من التعتيم، يدّعي Konfety زورًا استخدام أسلوب ضغط BZIP داخل ملف AndroidManifest.xml. قد يُسبب هذا التضليل فشلًا في التحليل، وتعطل بعض أدوات التحليل، وتعطيل جهود التحقيق الجنائي. وقد لوحظ سابقًا تهرب مماثل قائم على الضغط في برمجية SoumniBot الخبيثة، مما يُشير إلى أن هذا جزء من اتجاه ناشئ في تطوير برمجيات Android الخبيثة.
التخفي من خلال تحميل الكود الديناميكي
يلعب تحميل الكود الديناميكي دورًا محوريًا في تسلل Konfety. يفك البرنامج الخبيث تشفير حمولته DEX ويحمّلها مباشرةً في الذاكرة أثناء التنفيذ، متجنبًا بذلك عمليات التحقق الأمنية المعتادة التي تُجرى أثناء تثبيت التطبيق أو التحليل الثابت. إلى جانب الأصول المشفرة وإدخالات البيانات المضللة، تجعل استراتيجية التعتيم الطبقية هذه Konfety شديد المقاومة للكشف والهندسة العكسية.
القدرات الخبيثة والسياج الجغرافي
كما هو الحال في الإصدارات السابقة، يدمج Konfety حزمة تطوير البرامج (SDK) الخاصة بـ CaramelAds لجلب الإعلانات، وتوصيل حمولات إضافية، والحفاظ على الاتصال بالخوادم التي يتحكم بها المهاجم. بالإضافة إلى الاحتيال الإعلاني، يمتلك Konfety القدرة على إعادة توجيه المستخدمين إلى مواقع ويب ضارة، وبدء تثبيت تطبيقات غير مرغوب فيها، وإرسال إشعارات متصفح مستمرة تشبه البريد العشوائي. بالإضافة إلى قدرته على التخفي، يُخفي Konfety أيقونة تطبيقه ويستخدم أساليب تحديد المواقع الجغرافية لتعديل سلوكه بناءً على الموقع الجغرافي للضحية.
ملخص
يعكس تطور Konfety تطورًا واضحًا في تطور البرمجيات الخبيثة على الأجهزة المحمولة. ويُظهر مزيجه من التلاعب المتقدم بملفات APK، وحقن الأكواد البرمجية الديناميكية، والتكوينات الخادعة، الابتكار المستمر للجهات الفاعلة في مجال التهديدات، والتي تهدف إلى تجاوز ضوابط الأمن والحفاظ على استمرارية وجودها على الأجهزة المصابة.
