بدافزار موبایل Konfety

محققان امنیت سایبری نوع پیشرفته‌ای از بدافزار بدنام اندروید، Konfety، را کشف کرده‌اند که اکنون از تکنیک evil twin برای انجام کلاهبرداری تبلیغاتی در مقیاس بزرگ استفاده می‌کند. این روش، پیچیدگی رو به رشد تهدیداتی را که اکوسیستم‌های تلفن همراه را هدف قرار می‌دهند، برجسته می‌کند.

توضیح استراتژی دوقلوی شیطانی

رویکرد جدید مشاهده شده شامل ایجاد دو نسخه از یک برنامه است که نام بسته یکسانی دارند. یک نسخه، یک برنامه قانونی و بی‌خطر است که اغلب در فروشگاه گوگل پلی موجود است، در حالی که نسخه مخرب آن، «دوقلوی شیطانی»، از طریق منابع شخص ثالث توزیع می‌شود. نکته قابل توجه این است که برنامه طعمه لزوماً نباید توسط خود مهاجمان ایجاد شده باشد؛ در بسیاری از موارد، یک برنامه معتبر است که از قبل در فروشگاه پلی استور موجود است. تنها شرط لازم این است که نسخه مخرب از نام بسته یکسان استفاده کند، که به پنهان کردن حضور آن کمک می‌کند.

سازگاری و تکنیک‌های پیشرفته

عاملان پشت پرده Konfety سازگاری قابل توجهی از خود نشان داده‌اند و مرتباً شبکه‌های تبلیغاتی هدفمند را تغییر می‌دهند و تکنیک‌های خود را برای جلوگیری از شناسایی اصلاح می‌کنند. آخرین نوع آن با دستکاری ساختار ZIP فایل APK، این کار را فراتر می‌برد. مهاجمان با استفاده از APKهای ناقص، بررسی‌های امنیتی را دور می‌زنند و تلاش‌های مهندسی معکوس را پیچیده می‌کنند. آن‌ها به صورت پویا فایل اجرایی اصلی Dalvik (DEX) را در زمان اجرا بارگذاری می‌کنند، در حالی که همزمان یک پرچم ZIP خاص را فعال می‌کنند که سیستم را به این باور می‌رساند که فایل رمزگذاری شده است. این امر باعث ایجاد یک درخواست رمز عبور نادرست در حین بازرسی می‌شود و عملاً مانع از دسترسی تحلیلگران به محتوا می‌شود.

ترفندهای فشرده‌سازی و اختلال در تحلیل

در لایه دیگری از مبهم‌سازی، Konfety به دروغ ادعا می‌کند که از روش فشرده‌سازی BZIP در فایل AndroidManifest.xml استفاده می‌کند. این نمایش نادرست می‌تواند باعث خرابی در تجزیه، از کار افتادن ابزارهای تجزیه و تحلیل خاص و متوقف شدن تلاش‌های پزشکی قانونی شود. گریز مبتنی بر فشرده‌سازی مشابه قبلاً در بدافزار SoumniBot مشاهده شده بود، که نشان می‌دهد این بخشی از یک روند نوظهور در توسعه بدافزارهای اندرویدی است.

مخفی‌کاری از طریق بارگذاری پویای کد

بارگذاری پویای کد نقش محوری در مخفی‌کاری Konfety ایفا می‌کند. این بدافزار، بار داده‌ی DEX خود را در حین اجرا رمزگشایی و مستقیماً در حافظه بارگذاری می‌کند و از بررسی‌های امنیتی معمول که در حین نصب برنامه یا تجزیه و تحلیل استاتیک رخ می‌دهد، اجتناب می‌کند. این استراتژی مبهم‌سازی لایه‌ای، همراه با دارایی‌های رمزگذاری شده و ورودی‌های مانیفست گمراه‌کننده، Konfety را به طور ویژه در برابر شناسایی و مهندسی معکوس مقاوم می‌کند.

قابلیت‌های مخرب و حصار جغرافیایی

مانند نسخه‌های قبلی، Konfety از CaramelAds SDK برای دریافت تبلیغات، ارائه‌ی payloadهای اضافی و حفظ ارتباط با سرورهای تحت کنترل مهاجم استفاده می‌کند. این بدافزار فراتر از کلاهبرداری تبلیغاتی، توانایی هدایت کاربران به وب‌سایت‌های مخرب، شروع نصب برنامه‌های ناخواسته و ارسال اعلان‌های مداوم و شبیه به هرزنامه در مرورگر را دارد. Konfety علاوه بر مخفی‌کاری، آیکون برنامه‌ی خود را پنهان می‌کند و از تاکتیک‌های geofencing برای تغییر رفتار خود بر اساس موقعیت جغرافیایی قربانی استفاده می‌کند.

خلاصه

تکامل Konfety نشان‌دهنده‌ی افزایش آشکار پیچیدگی بدافزارهای موبایل است. ترکیبی از دستکاری پیشرفته‌ی APK، تزریق کد پویا و پیکربندی‌های فریبنده، نوآوری مداوم عاملان تهدید را نشان می‌دهد که با هدف دور زدن کنترل‌های امنیتی و حفظ پایداری در دستگاه‌های آلوده فعالیت می‌کنند.