Malware mobile Konfety
I ricercatori di sicurezza informatica hanno scoperto una variante avanzata del famigerato malware Android Konfety, che ora sfrutta la tecnica del gemello malvagio per commettere frodi pubblicitarie su larga scala. Questo metodo evidenzia la crescente complessità delle minacce che colpiscono gli ecosistemi mobili.
Sommario
La strategia del gemello malvagio spiegata
Il nuovo approccio osservato prevede la creazione di due versioni di un'applicazione che condividono lo stesso nome di pacchetto. Una versione è un'app legittima e benigna, spesso disponibile sul Google Play Store, mentre la sua controparte dannosa, la "gemella malvagia", viene distribuita tramite fonti terze. In particolare, l'app esca non deve necessariamente essere stata creata dagli aggressori stessi; in molti casi, si tratta di un'app autentica già presente sul Play Store. L'unico requisito è che la versione dannosa utilizzi lo stesso nome di pacchetto, il che contribuisce a mascherarne la presenza.
Adattabilità e tecniche avanzate
Gli autori di Konfety hanno dimostrato una notevole adattabilità, modificando frequentemente le reti pubblicitarie mirate e perfezionando le tecniche per eludere il rilevamento. L'ultima variante si spinge oltre, manomettendo la struttura ZIP dell'APK. Attraverso l'uso di APK malformati, gli aggressori aggirano i controlli di sicurezza e complicano le attività di reverse engineering. Caricano dinamicamente il payload principale del Dalvik Executable (DEX) in fase di esecuzione, abilitando contemporaneamente uno specifico flag ZIP che induce il sistema a credere che il file sia crittografato. Questo crea una richiesta di password falsa durante l'ispezione, impedendo di fatto agli analisti di accedere ai contenuti.
Trucchi di compressione e interruzione dell’analisi
In un ulteriore livello di offuscamento, Konfety afferma falsamente di utilizzare il metodo di compressione BZIP all'interno del file AndroidManifest.xml. Questa rappresentazione errata può causare errori di analisi, crash di alcuni strumenti di analisi e blocco delle attività di analisi forense. Un'elusione simile basata sulla compressione è stata precedentemente osservata nel malware SoumniBot, il che suggerisce che questo sia parte di una tendenza emergente nello sviluppo di malware per Android.
Furtività tramite caricamento dinamico del codice
Il caricamento dinamico del codice gioca un ruolo fondamentale nella furtività di Konfety. Il malware decifra e carica il suo payload DEX direttamente in memoria durante l'esecuzione, evitando i consueti controlli di sicurezza che si verificano durante l'installazione dell'app o l'analisi statica. In combinazione con risorse crittografate e voci del manifest fuorvianti, questa strategia di offuscamento a più livelli rende Konfety particolarmente resistente al rilevamento e al reverse engineering.
Capacità dannose e geofencing
Come le sue precedenti iterazioni, Konfety integra l'SDK CaramelAds per recuperare annunci pubblicitari, distribuire payload aggiuntivi e mantenere la comunicazione con i server controllati dagli aggressori. Oltre a frodare gli annunci, Konfety è in grado di reindirizzare gli utenti a siti web dannosi, avviare installazioni di app indesiderate e inviare notifiche persistenti del browser, simili a spam. Per aumentare la sua invisibilità, Konfety nasconde l'icona dell'app e utilizza tattiche di geofencing per modificare il proprio comportamento in base alla posizione geografica della vittima.
Riepilogo
L'evoluzione di Konfety riflette una chiara escalation nella sofisticazione dei malware per dispositivi mobili. La sua combinazione di manomissione avanzata degli APK, iniezione dinamica di codice e configurazioni ingannevoli dimostra la continua innovazione degli autori delle minacce, che mirano a bypassare i controlli di sicurezza e a mantenere la persistenza sui dispositivi infetti.
