Konfety mobil skadelig programvare
Forskere innen nettsikkerhet har avdekket en avansert variant av den beryktede Android-skadevaren Konfety, som nå utnytter den onde tvillingteknikken til å utføre storstilt annonsesvindel. Denne metoden understreker den økende kompleksiteten til trusler som retter seg mot mobile økosystemer.
Innholdsfortegnelse
Den onde tvillingstrategien forklart
Den nylig observerte tilnærmingen innebærer å lage to versjoner av en applikasjon som deler samme pakkenavn. Den ene versjonen er en legitim, godartet app som ofte er tilgjengelig i Google Play Store, mens den ondsinnede motparten, den «onde tvillingen», distribueres gjennom tredjepartskilder. Det er verdt å merke seg at lokkeappen ikke trenger å stamme fra angriperne selv; i mange tilfeller er det en autentisk app som allerede er i Play Store. Det eneste kravet er at den ondsinnede versjonen bruker identisk pakkenavn, noe som bidrar til å skjule dens tilstedeværelse.
Tilpasningsevne og avanserte teknikker
Aktørene bak Konfety har vist bemerkelsesverdig tilpasningsevne, og har ofte endret målrettede annonsenettverk og forbedret teknikker for å unngå å bli oppdaget. Den nyeste varianten tar dette videre ved å tukle med APK-ens ZIP-struktur. Ved å bruke misdannede APK-er omgår angripere sikkerhetskontroller og kompliserer reverse engineering-arbeidet. De laster dynamisk inn den viktigste Dalvik Executable (DEX)-nyttelasten under kjøretid, samtidig som de aktiverer et spesifikt ZIP-flagg som villeder systemet til å tro at filen er kryptert. Dette skaper en falsk passordforespørsel under inspeksjon, noe som effektivt blokkerer analytikere fra å få tilgang til innholdet.
Kompresjonstriks og analyseforstyrrelser
I et annet lag med forvirring hevder Konfety feilaktig å bruke BZIP-komprimeringsmetoden i AndroidManifest.xml-filen. Denne feilaktige fremstillingen kan forårsake parseringsfeil, krasj av visse analyseverktøy og stans i etterforskningsarbeidet. Lignende komprimeringsbasert unnvikelse ble tidligere observert i SoumniBot-skadevaren, noe som tyder på at dette er en del av en fremvoksende trend innen utvikling av Android-skadevaren.
Stealth gjennom dynamisk kodeinnlasting
Dynamisk kodelasting spiller en sentral rolle i Konfetys stealth-funksjonalitet. Skadevaren dekrypterer og laster DEX-nyttelasten sin direkte inn i minnet under kjøring, og unngår dermed de vanlige sikkerhetskontrollene som skjer under appinstallasjon eller statisk analyse. Kombinert med krypterte ressurser og misvisende manifestoppføringer gjør denne lagdelte obfuskeringsstrategien Konfety spesielt motstandsdyktig mot deteksjon og reverse engineering.
Ondsinnede funksjoner og geofencing
I likhet med tidligere iterasjoner integrerer Konfety CaramelAds SDK for å hente annonser, levere ekstra nyttelast og opprettholde kommunikasjon med angriperkontrollerte servere. Utover annonsesvindel har den muligheten til å omdirigere brukere til ondsinnede nettsteder, starte uønskede appinstallasjoner og sende vedvarende, spam-lignende nettleservarsler. I tillegg til sin snikende evne skjuler Konfety appikonet sitt og bruker geofencing-taktikker for å endre oppførselen basert på offerets geografiske plassering.
Sammendrag
Utviklingen av Konfety gjenspeiler en tydelig økning i sofistikering av mobil skadelig programvare. Kombinasjonen av avansert APK-manipulering, dynamisk kodeinjeksjon og villedende konfigurasjoner demonstrerer den kontinuerlige innovasjonen til trusselaktører som tar sikte på å omgå sikkerhetskontroller og opprettholde utholdenhet på infiserte enheter.
