„Konfety“ mobiliųjų įrenginių kenkėjiška programa
Kibernetinio saugumo tyrėjai atrado pažangų liūdnai pagarsėjusios „Android“ kenkėjiškos programos „Konfety“ variantą, kuris dabar naudoja piktojo dvynio techniką didelio masto reklamos sukčiavimui. Šis metodas pabrėžia augantį grėsmių, nukreiptų prieš mobiliąsias ekosistemas, sudėtingumą.
Turinys
Blogojo dvynio strategijos paaiškinimas
Naujai pastebėtas metodas apima dviejų programos versijų, turinčių tą patį paketo pavadinimą, sukūrimą. Viena versija yra teisėta, nekenksminga programa, dažnai prieinama „Google Play“ parduotuvėje, o jos kenkėjiška versija, „blogasis dvynys“, platinama per trečiųjų šalių šaltinius. Svarbu tai, kad masalo programa nebūtinai turi būti sukurta pačių užpuolikų; daugeliu atvejų tai yra autentiška programa, jau esanti „Play“ parduotuvėje. Vienintelis reikalavimas yra tas, kad kenkėjiška versija naudotų identišką paketo pavadinimą, kuris padeda užmaskuoti jos buvimą.
Prisitaikymas ir pažangios technikos
„Konfety“ kūrėjai parodė puikų prisitaikymą, dažnai keisdami tikslinius reklamos tinklus ir tobulindami metodus, kad išvengtų aptikimo. Naujausias variantas tai dar labiau padidina, keisdamas APK ZIP struktūrą. Naudodami netinkamai suformuotus APK failus, užpuolikai apeina saugumo patikras ir apsunkina atvirkštinės inžinerijos pastangas. Jie dinamiškai įkelia pagrindinį „Dalvik Executable“ (DEX) paketą vykdymo metu, tuo pačiu metu įjungdami konkrečią ZIP vėliavėlę, kuri klaidina sistemą, priversdama manyti, kad failas yra užšifruotas. Tai sukuria klaidingą slaptažodžio užklausą patikrinimo metu, efektyviai blokuodama analitikams prieigą prie turinio.
Suspaudimo gudrybės ir analizės sutrikimai
Kitame klaidinimo lygmenyje „Konfety“ melagingai teigia naudojanti BZIP glaudinimo metodą faile „AndroidManifest.xml“. Šis klaidingas pateikimas gali sukelti analizės klaidas, tam tikrų analizės įrankių gedimus ir teismo ekspertizės darbų sustabdymą. Panašus glaudinimo pagrindu sukurtas apėjimas anksčiau buvo pastebėtas „SoumniBot“ kenkėjiškoje programoje, o tai rodo, kad tai yra besiformuojančios „Android“ kenkėjiškų programų kūrimo tendencijos dalis.
Slaptas veikimas dinaminio kodo įkėlimo būdu
Dinaminis kodo įkėlimas atlieka esminį vaidmenį „Konfety“ slaptame veikime. Kenkėjiška programa iššifruoja ir įkelia savo DEX naudingąją apkrovą tiesiai į atmintį vykdymo metu, išvengdama įprastų saugumo patikrinimų, kurie atliekami diegiant programą arba statinės analizės metu. Kartu su užšifruotais ištekliais ir klaidinančiais manifesto įrašais ši daugiasluoksnė kodo maskavimo strategija daro „Konfety“ ypač atsparią aptikimui ir atvirkštinei inžinerijai.
Kenkėjiškos galimybės ir geofencingas
Kaip ir ankstesnėse versijose, „Konfety“ integruoja „CaramelAds SDK“, kad būtų galima gauti reklamas, pateikti papildomus paketus ir palaikyti ryšį su užpuoliko kontroliuojamais serveriais. Be reklamos sukčiavimo, ji gali nukreipti vartotojus į kenkėjiškas svetaines, inicijuoti nepageidaujamų programų diegimą ir siųsti nuolatinius, į šlamštą panašius naršyklės pranešimus. Be to, „Konfety“ slepia savo programėlės piktogramą ir naudoja geofencingo taktiką, kad pakeistų savo elgesį pagal aukos geografinę vietą.
Santrauka
„Konfety“ evoliucija atspindi aiškų mobiliųjų įrenginių kenkėjiškų programų sudėtingumo padidėjimą. Jos pažangių APK klastojimo, dinaminio kodo injekcijos ir apgaulingų konfigūracijų derinys rodo nuolatines grėsmių veikėjų inovacijas, siekiančias apeiti saugumo kontrolę ir išlaikyti virusų pėdsakus užkrėstuose įrenginiuose.
