Programari maliciós per a mòbils de Konfety
Investigadors de ciberseguretat han descobert una variant avançada del famós programari maliciós per a Android, Konfety, que ara aprofita la tècnica del bessó malvat per dur a terme fraus publicitaris a gran escala. Aquest mètode subratlla la creixent complexitat de les amenaces dirigides als ecosistemes mòbils.
Taula de continguts
L’estratègia del bessó malvat explicada
El nou enfocament observat consisteix a crear dues versions d'una aplicació que comparteixen el mateix nom de paquet. Una versió és una aplicació legítima i benigna que sovint està disponible a Google Play Store, mentre que la seva contrapart maliciosa, el "bessó malvat", es distribueix a través de fonts de tercers. Cal destacar que l'aplicació esquer no ha de provenir dels mateixos atacants; en molts casos, és una aplicació autèntica que ja es troba a Play Store. L'únic requisit és que la versió maliciosa utilitzi el mateix nom de paquet, cosa que ajuda a dissimular la seva presència.
Adaptabilitat i tècniques avançades
Els actors que hi ha darrere de Konfety han demostrat una adaptabilitat remarcable, alterant freqüentment les xarxes publicitàries dirigides i refinant les tècniques per evadir la detecció. L'última variant ho porta més enllà manipulant l'estructura ZIP de l'APK. Mitjançant l'ús d'APK mal formats, els atacants eviten les comprovacions de seguretat i compliquen els esforços d'enginyeria inversa. Carreguen dinàmicament la càrrega útil principal de Dalvik Executable (DEX) en temps d'execució, alhora que activen un indicador ZIP específic que enganya el sistema fent-li creure que el fitxer està xifrat. Això crea una falsa sol·licitud de contrasenya durant la inspecció, cosa que impedeix que els analistes accedeixin al contingut.
Trucs de compressió i interrupció de l’anàlisi
En una altra capa d'ofuscació, Konfety afirma falsament que utilitza el mètode de compressió BZIP dins del fitxer AndroidManifest.xml. Aquesta tergiversació pot causar errors d'anàlisi, bloquejar certes eines d'anàlisi i aturar els esforços forenses. Anteriorment s'havia observat una evasió similar basada en la compressió en el programari maliciós SoumniBot, cosa que suggereix que això forma part d'una tendència emergent en el desenvolupament de programari maliciós per a Android.
Càrrega dinàmica de codi oculta
La càrrega dinàmica de codi juga un paper fonamental en l'invisibilitat de Konfety. El programari maliciós desxifra i carrega la seva càrrega útil DEX directament a la memòria durant l'execució, evitant les comprovacions de seguretat habituals que es produeixen durant la instal·lació de l'aplicació o l'anàlisi estàtica. Combinada amb actius xifrats i entrades de manifest enganyoses, aquesta estratègia d'ofuscació per capes fa que Konfety sigui especialment resistent a la detecció i l'enginyeria inversa.
Capacitats malicioses i geofencing
Igual que les versions anteriors, Konfety integra el SDK CaramelAds per obtenir anuncis, lliurar càrregues addicionals i mantenir la comunicació amb els servidors controlats pels atacants. Més enllà del frau publicitari, té la capacitat de redirigir els usuaris a llocs web maliciosos, iniciar instal·lacions d'aplicacions no desitjades i enviar notificacions persistents del navegador, semblants a correu brossa. A més de la seva discreció, Konfety amaga la icona de l'aplicació i utilitza tàctiques de geofencing per modificar el seu comportament en funció de la ubicació geogràfica de la víctima.
Resum
L'evolució de Konfety reflecteix una clara escalada en la sofisticació del programari maliciós per a mòbils. La seva combinació de manipulació avançada d'APK, injecció dinàmica de codi i configuracions enganyoses demostra la innovació contínua dels actors d'amenaces que busquen eludir els controls de seguretat i mantenir la persistència en els dispositius infectats.
