Konfety mobilni zlonamjerni softver
Istraživači kibernetičke sigurnosti otkrili su naprednu varijantu zloglasnog Android zlonamjernog softvera, Konfetyja, koja sada koristi tehniku zlog blizanca za provođenje velikih reklamnih prijevara. Ova metoda naglašava rastuću složenost prijetnji usmjerenih na mobilne ekosustave.
Sadržaj
Objašnjenje strategije zlih blizanaca
Novootkriveni pristup uključuje stvaranje dvije verzije aplikacije koje dijele isti naziv paketa. Jedna verzija je legitimna, bezopasna aplikacija često dostupna u Trgovini Google Play, dok se njezin zlonamjerni pandan, 'zli blizanac', distribuira putem izvora trećih strana. Važno je napomenuti da aplikacija mamac ne mora potjecati od samih napadača; u mnogim slučajevima to je autentična aplikacija koja se već nalazi u Trgovini Play. Jedini je uvjet da zlonamjerna verzija koristi identičan naziv paketa, što pomaže u prikrivanju njezine prisutnosti.
Prilagodljivost i napredne tehnike
Akteri koji stoje iza Konfetyja pokazali su izvanrednu prilagodljivost, često mijenjajući ciljane oglasne mreže i usavršavajući tehnike kako bi izbjegli otkrivanje. Najnovija varijanta ide dalje mijenjajući ZIP strukturu APK-a. Korištenjem oštećenih APK-ova, napadači zaobilaze sigurnosne provjere i kompliciraju napore obrnutog inženjeringa. Dinamički učitavaju glavni teret Dalvik Executable (DEX) tijekom izvođenja, a istovremeno omogućuju određenu ZIP zastavicu koja zavarava sustav da vjeruje da je datoteka šifrirana. To stvara lažni zahtjev za lozinku tijekom pregleda, učinkovito blokirajući analitičare u pristupu sadržaju.
Trikovi kompresije i poremećaji analize
U još jednom sloju zamagljivanja, Konfety lažno tvrdi da koristi BZIP metodu kompresije unutar datoteke AndroidManifest.xml. Ovo pogrešno predstavljanje može uzrokovati pogreške pri parsiranju, rušenje određenih alata za analizu i odugovlačenje forenzičkih napora. Slično izbjegavanje temeljeno na kompresiji prethodno je uočeno u zlonamjernom softveru SoumniBot, što sugerira da je ovo dio novog trenda u razvoju zlonamjernog softvera za Android.
Prikrivenost kroz dinamičko učitavanje koda
Dinamičko učitavanje koda igra ključnu ulogu u Konfetyjevoj prikrivenosti. Zlonamjerni softver dešifrira i učitava svoj DEX teret izravno u memoriju tijekom izvršavanja, izbjegavajući uobičajene sigurnosne provjere koje se događaju tijekom instalacije aplikacije ili statičke analize. U kombinaciji sa šifriranim resursima i obmanjujućim unosima manifesta, ova slojevita strategija maskiranja čini Konfety posebno otpornim na otkrivanje i obrnuti inženjering.
Zlonamjerne mogućnosti i geofencing
Kao i ranije verzije, Konfety integrira CaramelAds SDK za dohvaćanje oglasa, isporuku dodatnih sadržaja i održavanje komunikacije s poslužiteljima koje kontroliraju napadači. Osim prijevare s oglasima, ima mogućnost preusmjeravanja korisnika na zlonamjerne web stranice, pokretanja neželjenih instalacija aplikacija i slanja trajnih obavijesti preglednika sličnih neželjenoj pošti. Konfety, kao dodatak svojoj prikrivenosti, skriva ikonu svoje aplikacije i koristi taktike geofencinga kako bi izmijenio svoje ponašanje na temelju geografske lokacije žrtve.
Sažetak
Evolucija Konfetyja odražava jasnu eskalaciju sofisticiranosti mobilnog zlonamjernog softvera. Njegova kombinacija naprednog mijenjanja APK-ova, dinamičkog ubrizgavanja koda i varljivih konfiguracija pokazuje kontinuiranu inovaciju aktera prijetnji koji nastoje zaobići sigurnosne kontrole i održati postojanost na zaraženim uređajima.
