Мобилен зловреден софтуер Konfety
Изследователи по киберсигурност откриха усъвършенстван вариант на скандалния зловреден софтуер за Android, Konfety, който сега използва техниката на злия близнак, за да извършва мащабни рекламни измами. Този метод подчертава нарастващата сложност на заплахите, насочени към мобилните екосистеми.
Съдържание
Обяснение на стратегията на злия близнак
Новооткритият подход включва създаването на две версии на приложение, които споделят едно и също име на пакет. Едната версия е легитимно, безобидно приложение, често достъпно в Google Play Store, докато злонамереният му аналог, „злият близнак“, се разпространява чрез източници на трети страни. Забележително е, че приложението-примамка не е задължително да произхожда от самите нападатели; в много случаи това е автентично приложение, което вече е в Play Store. Единственото изискване е злонамерената версия да използва идентичното име на пакета, което помага за прикриване на присъствието ѝ.
Адаптивност и усъвършенствани техники
Участниците зад Konfety са показали забележителна адаптивност, често променяйки целеви рекламни мрежи и усъвършенствайки техники, за да избегнат откриването. Последният вариант отива още по-далеч, като манипулира ZIP структурата на APK файла. Чрез използването на деформирани APK файлове, нападателите заобикалят проверките за сигурност и усложняват усилията за обратно инженерство. Те динамично зареждат основния полезен товар на Dalvik Executable (DEX) по време на изпълнение, като едновременно с това активират специфичен ZIP флаг, който подвежда системата да повярва, че файлът е криптиран. Това създава фалшива подкана за парола по време на проверка, като ефективно блокира анализаторите от достъп до съдържанието.
Компресионни трикове и прекъсване на анализа
В друг слой на обфускация, Konfety лъжливо твърди, че използва метода за компресия BZIP във файла AndroidManifest.xml. Това невярно представяне може да причини грешки при парсиране, срив на определени инструменти за анализ и забавяне на криминалистичните усилия. Подобно избягване на компресията е наблюдавано преди това в зловредния софтуер SoumniBot, което предполага, че това е част от зараждаща се тенденция в разработването на злонамерен софтуер за Android.
Стелт чрез динамично зареждане на код
Динамичното зареждане на код играе ключова роля в скритостта на Konfety. Зловредният софтуер декриптира и зарежда своя DEX полезен товар директно в паметта по време на изпълнение, избягвайки обичайните проверки за сигурност, които се извършват по време на инсталиране на приложение или статичен анализ. В комбинация с криптирани активи и подвеждащи записи в манифеста, тази многопластова стратегия за обфускация прави Konfety особено устойчив на откриване и обратно инженерство.
Злонамерени възможности и геозониране
Подобно на по-ранните версии, Konfety интегрира CaramelAds SDK, за да извлича реклами, да доставя допълнителни полезни товари и да поддържа комуникация със сървъри, контролирани от нападателите. Освен рекламните измами, той притежава способността да пренасочва потребители към злонамерени уебсайтове, да инициира нежелани инсталации на приложения и да изпраща постоянни, подобни на спам известия в браузъра. В допълнение към своята скритост, Konfety скрива иконата на приложението си и използва тактики за геозониране, за да променя поведението си въз основа на географското местоположение на жертвата.
Обобщение
Еволюцията на Konfety отразява ясна ескалация на сложността на мобилния зловреден софтуер. Комбинацията от усъвършенствано манипулиране на APK файлове, динамично инжектиране на код и подвеждащи конфигурации демонстрира непрекъснатите иновации на злонамерените лица, целящи да заобиколят контролите за сигурност и да поддържат устойчивост на заразените устройства.
