Perisian Hasad Mudah Alih Konfety
Penyelidik keselamatan siber telah menemui varian lanjutan perisian hasad Android yang terkenal, Konfety, yang kini memanfaatkan teknik kembar jahat untuk menjalankan penipuan iklan berskala besar. Kaedah ini menggariskan kerumitan ancaman yang semakin meningkat yang menyasarkan ekosistem mudah alih.
Isi kandungan
Strategi Berkembar Jahat Dijelaskan
Pendekatan yang baru diperhatikan melibatkan penciptaan dua versi aplikasi yang berkongsi nama pakej yang sama. Satu versi ialah apl yang sah dan jinak yang selalunya tersedia di Gedung Google Play, manakala rakan sejawatannya yang berniat jahat, 'kembar jahat', diedarkan melalui sumber pihak ketiga. Terutamanya, aplikasi umpan tidak perlu berasal daripada penyerang itu sendiri; dalam banyak kes, ia adalah apl tulen yang sudah ada di Gedung Play. Satu-satunya keperluan ialah versi berniat jahat menggunakan nama pakej yang sama, yang membantu dalam menyamarkan kehadirannya.
Kebolehsuaian dan Teknik Lanjutan
Pelakon di sebalik Konfety telah menunjukkan kebolehsuaian yang luar biasa, kerap mengubah rangkaian iklan yang disasarkan dan teknik penapisan untuk mengelakkan pengesanan. Varian terbaharu membawa ini lebih jauh dengan mengganggu struktur ZIP APK. Melalui penggunaan APK yang cacat, penyerang memintas pemeriksaan keselamatan dan merumitkan usaha kejuruteraan terbalik. Mereka secara dinamik memuatkan muatan Dalvik Executable (DEX) utama pada masa jalan, sambil pada masa yang sama mendayakan bendera ZIP tertentu yang mengelirukan sistem untuk mempercayai fail itu disulitkan. Ini mewujudkan gesaan kata laluan palsu semasa pemeriksaan, dengan berkesan menghalang penganalisis daripada mengakses kandungan.
Trik Pemampatan dan Gangguan Analisis
Dalam lapisan kekeliruan yang lain, Konfety secara palsu mendakwa menggunakan kaedah pemampatan BZIP dalam fail AndroidManifest.xml. Salah nyata ini boleh menyebabkan kegagalan penghuraian, ranap alat analisis tertentu dan usaha forensik terhenti. Pengelakan berasaskan mampatan yang serupa sebelum ini diperhatikan dalam perisian hasad SoumniBot, mencadangkan ini adalah sebahagian daripada trend yang muncul dalam pembangunan perisian hasad Android.
Stealth Melalui Pemuatan Kod Dinamik
Pemuatan kod dinamik memainkan peranan penting dalam kesembunyian Konfety. Perisian hasad menyahsulit dan memuatkan muatan DEXnya terus ke dalam ingatan semasa pelaksanaan, mengelakkan pemeriksaan keselamatan biasa yang berlaku semasa pemasangan apl atau analisis statik. Digabungkan dengan aset yang disulitkan dan entri manifes yang mengelirukan, strategi kekeliruan berlapis ini menjadikan Konfety sangat berdaya tahan terhadap pengesanan dan kejuruteraan terbalik.
Keupayaan Hasad dan Geofencing
Seperti lelaran terdahulu, Konfety menyepadukan SDK CaramelAds untuk mengambil iklan, menyampaikan muatan tambahan dan mengekalkan komunikasi dengan pelayan dikawal penyerang. Selain daripada penipuan iklan, ia mempunyai keupayaan untuk mengubah hala pengguna ke tapak web berniat jahat, memulakan pemasangan apl yang tidak diingini dan menolak pemberitahuan penyemak imbas seperti spam yang berterusan. Menambah kesembunyiannya, Konfety menyembunyikan ikon aplikasinya dan menggunakan taktik geofencing untuk mengubah suai tingkah lakunya berdasarkan lokasi geografi mangsa.
Ringkasan
Evolusi Konfety mencerminkan peningkatan yang jelas dalam kecanggihan perisian hasad mudah alih. Gabungan pengubahan APK lanjutan, suntikan kod dinamik dan konfigurasi yang mengelirukan menunjukkan inovasi berterusan pelaku ancaman yang bertujuan untuk memintas kawalan keselamatan dan mengekalkan kegigihan pada peranti yang dijangkiti.
