Konfety mobiilne pahavara
Küberturvalisuse uurijad on avastanud kurikuulsa Androidi pahavara Konfety täiustatud variandi, mis nüüd kasutab kurja kaksiku tehnikat ulatusliku reklaamipettuse läbiviimiseks. See meetod rõhutab mobiilseid ökosüsteeme sihtivate ohtude kasvavat keerukust.
Sisukord
Kurja kaksikstrateegia selgitus
See äsjaavastatud lähenemisviis hõlmab rakenduse kahe versiooni loomist, millel on sama paketinimi. Üks versioon on legitiimne ja healoomuline rakendus, mis on sageli saadaval Google Play poes, samas kui selle pahatahtlik vaste, „kuri kaksik“, levitatakse kolmandate osapoolte kaudu. Tähelepanuväärne on see, et peibutusrakendus ei pea pärinema ründajatelt endilt; paljudel juhtudel on see Play poes juba olev autentne rakendus. Ainus nõue on, et pahatahtlik versioon kasutaks identset paketinime, mis aitab selle olemasolu varjata.
Kohandumisvõime ja täiustatud tehnikad
Konfety taga olevad tegijad on näidanud märkimisväärset kohanemisvõimet, muutes sageli sihitud reklaamivõrgustikke ja täiustades tehnikaid avastamise vältimiseks. Viimane variant viib selle veelgi kaugemale, muutes APK ZIP-struktuuri. Vigaste APK-de abil mööduvad ründajad turvakontrollidest ja raskendavad pöördprojekteerimist. Nad laadivad dünaamiliselt peamise Dalvik Executable'i (DEX) kasuliku koormuse käitusajal, lubades samal ajal konkreetse ZIP-lipu, mis eksitab süsteemi uskuma, et fail on krüptitud. See loob kontrolli ajal vale parooli küsimise, blokeerides analüütikutel sisule juurdepääsu.
Tihendusnipid ja analüüsi katkemine
Teises hämamise kihis väidab Konfety ekslikult, et kasutab AndroidManifest.xml failis BZIP-tihendusmeetodit. See valeandmete esitamine võib põhjustada parsimisvigu, teatud analüüsitööriistade krahhe ja kohtuekspertiisi takistamist. Sarnast tihenduspõhist vältimist on varem täheldatud SoumniBoti pahavara puhul, mis viitab sellele, et see on osa Androidi pahavara arendamise tärkavast trendist.
Varjatud dünaamilise koodi laadimise kaudu
Dünaamilisel koodi laadimisel on Konfety varjatud toimimises keskne roll. Pahavara dekrüpteerib oma DEX-i kasuliku teabe ja laadib selle täitmise ajal otse mällu, vältides tavapäraseid turvakontrolle, mis toimuvad rakenduse installimise või staatilise analüüsi ajal. Koos krüpteeritud varade ja eksitavate manifesti kirjetega muudab see kihiline hägustamisstrateegia Konfety eriti vastupidavaks tuvastamisele ja pöördprojekteerimisele.
Pahatahtlikud võimed ja geopiirded
Nagu varasemad versioonid, integreerib Konfety CaramelAds SDK reklaamide toomiseks, täiendavate sisumahtude edastamiseks ja ründaja kontrollitavate serveritega ühenduse säilitamiseks. Lisaks reklaamipettustele on sellel võime suunata kasutajaid pahatahtlikele veebisaitidele, algatada soovimatute rakenduste installimist ja edastada püsivaid rämpspostilaadseid brauseriteateid. Lisaks oma varjatusvõimele peidab Konfety oma rakenduse ikooni ja kasutab geofencingu taktikat, et muuta oma käitumist ohvri geograafilise asukoha põhjal.
Kokkuvõte
Konfety areng peegeldab mobiilse pahavara keerukuse selget eskaleerumist. Selle täiustatud APK-de manipuleerimise, dünaamilise koodisüstimise ja petlike konfiguratsioonide kombinatsioon näitab ohtude tegijate pidevat innovatsiooni, mille eesmärk on turvakontrollidest mööda hiilida ja nakatunud seadmetes püsivust säilitada.
