תוכנה זדונית למובייל של Konfety
חוקרי אבטחת סייבר חשפו גרסה מתקדמת של נוזקת האנדרואיד הידועה לשמצה, Konfety, אשר כעת מנצלת את טכניקת התאום הרע כדי לבצע הונאת פרסום בקנה מידה גדול. שיטה זו מדגישה את המורכבות הגוברת של איומים המכוונים למערכות אקולוגיות ניידות.
תוכן העניינים
אסטרטגיית התאום הרע מוסברת
הגישה החדשה שנצפתה כרוכה ביצירת שתי גרסאות של אפליקציה בעלות אותו שם חבילה. גרסה אחת היא אפליקציה לגיטימית ושפירה, הזמינה לעתים קרובות בחנות Google Play, בעוד שמקבילה הזדונית שלה, "התאום הרע", מופצת דרך מקורות צד שלישי. ראוי לציין כי אפליקציית הפיתיון אינה חייבת להיות מקורה של התוקפים עצמם; במקרים רבים, מדובר באפליקציה אותנטית שכבר נמצאת בחנות Play. הדרישה היחידה היא שהגרסה הזדונית תשתמש באותו שם חבילה, מה שעוזר להסוות את נוכחותה.
יכולת הסתגלות וטכניקות מתקדמות
הגורמים שמאחורי Konfety הפגינו יכולת הסתגלות יוצאת דופן, תוך שינוי תכוף של רשתות פרסום ממוקדות ושיפור טכניקות כדי להתחמק מגילוי. הגרסה האחרונה הולכת צעד קדימה על ידי שיבוש מבנה ה-ZIP של קובץ ה-APK. באמצעות שימוש ב-APKs בעלי מבנה פגום, התוקפים עוקפים בדיקות אבטחה ומסבכים מאמצי הנדסה לאחור. הם טוענים באופן דינמי את המטען הראשי של קובץ ה-Dalvik Executable (DEX) בזמן ריצה, ובמקביל מאפשרים דגל ZIP ספציפי שמטעה את המערכת להאמין שהקובץ מוצפן. זה יוצר בקשת סיסמה כוזבת במהלך הבדיקה, וחוסם למעשה את הגישה של האנליסטים לתוכן.
טריקים של דחיסה ושיבוש ניתוח
בשכבה נוספת של ערפול, Konfety טוענת באופן שקרי שהיא משתמשת בשיטת הדחיסה BZIP בתוך קובץ AndroidManifest.xml. מצג שווא זה עלול לגרום לכשלים בניתוח, קריסת כלי ניתוח מסוימים ועיכוב במאמצי זיהוי פלילי. התחמקות דומה מבוססת דחיסה נצפתה בעבר בתוכנה הזדונית SoumniBot, דבר המצביע על כך שמדובר בחלק ממגמה מתפתחת בפיתוח תוכנות זדוניות לאנדרואיד.
התגנבות באמצעות טעינת קוד דינמית
טעינת קוד דינמית ממלאת תפקיד מרכזי בהתגנבות של Konfety. הנוזקה מפענחת וטוענת את מטען ה-DEX שלה ישירות לזיכרון במהלך הביצוע, תוך הימנעות מבדיקות האבטחה הרגילות המתרחשות במהלך התקנת אפליקציה או ניתוח סטטי. בשילוב עם נכסים מוצפנים ורשומות מניפסט מטעות, אסטרטגיית ערפול שכבתית זו הופכת את Konfety לעמידה במיוחד בפני זיהוי והנדסה לאחור.
יכולות זדוניות וגיאוגרפיקה
כמו גרסאות קודמות, Konfety משלב את ערכת פיתוח התוכנה CaramelAds כדי לאחזר פרסומות, לספק מטענים נוספים ולשמור על תקשורת עם שרתים הנשלטים על ידי תוקפים. מעבר להונאת פרסומות, יש לו את היכולת להפנות משתמשים לאתרים זדוניים, ליזום התקנות של אפליקציות לא רצויות ולשלוח התראות דפדפן מתמשכות, דמויות ספאם. בנוסף לחשאיות שלו, Konfety מסתירה את סמל האפליקציה שלה ומשתמשת בטקטיקות גיאו-פינקינג כדי לשנות את התנהגותה בהתבסס על מיקום גיאוגרפי של הקורבן.
תַקצִיר
האבולוציה של Konfety משקפת הסלמה ברורה בתחכום של תוכנות זדוניות ניידות. השילוב של חבלה מתקדמת ב-APK, הזרקת קוד דינמית ותצורות מטעות מדגים את החדשנות המתמשכת של גורמי איום שמטרתם לעקוף בקרות אבטחה ולשמור על עמידות במכשירים נגועים.
