Konfety mobilo ierīču ļaunprogrammatūra
Kiberdrošības pētnieki ir atklājuši bēdīgi slavenās Android ļaunprogrammatūras Konfety uzlabotu variantu, kas tagad izmanto ļaunā dvīņa tehniku, lai veiktu liela mēroga reklāmu krāpšanu. Šī metode uzsver mobilo ekosistēmu apdraudējumu pieaugošo sarežģītību.
Satura rādītājs
Ļaunā dvīņu stratēģijas skaidrojums
Jaunizveidotā pieeja ietver divu lietojumprogrammas versiju izveidi ar vienādu pakotnes nosaukumu. Viena versija ir likumīga, labdabīga lietotne, kas bieži vien ir pieejama Google Play veikalā, savukārt tās ļaunprātīgais līdzinieks, "ļaunais dvīnis", tiek izplatīts, izmantojot trešo pušu avotus. Jāatzīmē, ka mānekļa lietotnei nav jābūt no pašiem uzbrucējiem; daudzos gadījumos tā ir autentiska lietotne, kas jau ir pieejama Play veikalā. Vienīgā prasība ir tāda, lai ļaunprātīgā versija izmantotu identisku pakotnes nosaukumu, kas palīdz maskēt tās klātbūtni.
Pielāgošanās spēja un progresīvas metodes
Konfety veidotāji ir parādījuši ievērojamu pielāgošanās spēju, bieži mainot mērķtiecīgus reklāmas tīklus un pilnveidojot metodes, lai izvairītos no atklāšanas. Jaunākā versija to paplašina, manipulējot ar APK ZIP struktūru. Izmantojot nepareizi veidotus APK failus, uzbrucēji apiet drošības pārbaudes un sarežģī reversās inženierijas centienus. Izpildes laikā viņi dinamiski ielādē galveno Dalvik Executable (DEX) lietderīgo slodzi, vienlaikus iespējojot īpašu ZIP karodziņu, kas maldina sistēmu, liekot tai domāt, ka fails ir šifrēts. Tas pārbaudes laikā rada viltus paroles uzvedni, efektīvi bloķējot analītiķu piekļuvi saturam.
Saspiešanas triki un analīzes traucējumi
Vēl vienā slēpšanas slānī Konfety maldinoši apgalvo, ka AndroidManifest.xml failā izmanto BZIP saspiešanas metodi. Šī sagrozīšana var izraisīt parsēšanas kļūmes, noteiktu analīzes rīku avāriju un kriminālistikas darbu apturēšanu. Līdzīga uz saspiešanu balstīta apiešana iepriekš tika novērota SoumniBot ļaunprogrammatūrā, kas liecina, ka šī ir daļa no jaunas tendences Android ļaunprogrammatūras izstrādē.
Slepenība, izmantojot dinamisko koda ielādi
Dinamiskajam kodam ir izšķiroša nozīme Konfety slepenībā. Ļaunprogrammatūra izpildes laikā atšifrē un ielādē savu DEX lietderīgo slodzi tieši atmiņā, apejot parastās drošības pārbaudes, kas notiek lietotnes instalēšanas vai statiskās analīzes laikā. Apvienojumā ar šifrētiem resursiem un maldinošiem manifesta ierakstiem šī slāņveida obfuskācijas stratēģija padara Konfety īpaši noturīgu pret atklāšanu un reverso inženieriju.
Ļaunprātīgas iespējas un ģeogrāfiskā norobežošana
Tāpat kā iepriekšējās versijās, Konfety integrē CaramelAds SDK, lai ielādētu reklāmas, piegādātu papildu vērtumus un uzturētu saziņu ar uzbrucēju kontrolētiem serveriem. Papildus reklāmu krāpšanai tai piemīt spēja novirzīt lietotājus uz ļaunprātīgām vietnēm, uzsākt nevēlamu lietotņu instalēšanu un nosūtīt pastāvīgus, surogātpastam līdzīgus pārlūkprogrammas paziņojumus. Papildus savai slepenībai Konfety slēpj savas lietotnes ikonu un izmanto ģeogrāfiskās norobežošanas taktiku, lai mainītu savu darbību, pamatojoties uz upura ģeogrāfisko atrašanās vietu.
Kopsavilkums
Konfety evolūcija atspoguļo skaidru mobilo ļaunprogrammatūru sarežģītības pieaugumu. Tās uzlabotās APK manipulācijas, dinamiskā koda injekcija un maldinošās konfigurācijas apvienojums demonstrē apdraudējumu dalībnieku nepārtraukto inovāciju, kuru mērķis ir apiet drošības kontroles un saglabāt noturību inficētajās ierīcēs.
