Konfety Mobile Malware
Badacze cyberbezpieczeństwa odkryli zaawansowaną odmianę niesławnego złośliwego oprogramowania dla systemu Android, Konfety, która wykorzystuje technikę „złego bliźniaka” do przeprowadzania oszustw reklamowych na dużą skalę. Ta metoda podkreśla rosnącą złożoność zagrożeń atakujących ekosystemy mobilne.
Spis treści
Strategia Złego Bliźniaka wyjaśniona
Nowo zaobserwowane podejście polega na tworzeniu dwóch wersji aplikacji o tej samej nazwie pakietu. Jedna wersja to legalna, nieszkodliwa aplikacja, często dostępna w sklepie Google Play, podczas gdy jej złośliwy odpowiednik, „zły bliźniak”, jest dystrybuowany za pośrednictwem zewnętrznych źródeł. Co istotne, aplikacja-pułapka nie musi pochodzić od samych atakujących; w wielu przypadkach jest to autentyczna aplikacja, która już znajduje się w sklepie Play. Jedynym wymogiem jest to, aby złośliwa wersja używała identycznej nazwy pakietu, co pomaga w zamaskowaniu jej obecności.
Adaptowalność i zaawansowane techniki
Aktorzy stojący za wirusem Konfety wykazali się niezwykłą zdolnością adaptacji, często modyfikując ukierunkowane sieci reklamowe i udoskonalając techniki, aby uniknąć wykrycia. Najnowsza wersja idzie o krok dalej, manipulując strukturą pliku ZIP w pliku APK. Wykorzystując nieprawidłowo sformatowane pliki APK, atakujący omijają kontrole bezpieczeństwa i komplikują inżynierię wsteczną. Dynamicznie ładują główny plik wykonywalny Dalvik (DEX) w czasie wykonywania, jednocześnie włączając określoną flagę ZIP, która wprowadza system w błąd, sugerując, że plik jest zaszyfrowany. Powoduje to wyświetlanie fałszywego monitu o podanie hasła podczas inspekcji, skutecznie blokując analitykom dostęp do zawartości.
Sztuczki kompresji i zakłócenia analizy
W kolejnym etapie zaciemniania, Konfety fałszywie twierdzi, że używa metody kompresji BZIP w pliku AndroidManifest.xml. To przekłamanie może powodować błędy analizy składniowej, awarie niektórych narzędzi analitycznych i opóźnienia w pracach śledczych. Podobne obejście oparte na kompresji zaobserwowano wcześniej w złośliwym oprogramowaniu SoumniBot, co sugeruje, że jest to element nowego trendu w rozwoju złośliwego oprogramowania na Androida.
Ukrycie dzięki dynamicznemu ładowaniu kodu
Dynamiczne ładowanie kodu odgrywa kluczową rolę w ukryciu Konfety. Szkodliwe oprogramowanie odszyfrowuje i ładuje swój ładunek DEX bezpośrednio do pamięci podczas wykonywania, omijając standardowe kontrole bezpieczeństwa, które mają miejsce podczas instalacji aplikacji lub analizy statycznej. W połączeniu z zaszyfrowanymi zasobami i wprowadzającymi w błąd wpisami w manifeście, ta wielowarstwowa strategia zaciemniania sprawia, że Konfety jest szczególnie odporny na wykrycie i inżynierię wsteczną.
Możliwości złośliwe i geofencing
Podobnie jak wcześniejsze wersje, Konfety integruje pakiet SDK CaramelAds, aby pobierać reklamy, dostarczać dodatkowe ładunki i utrzymywać komunikację z serwerami kontrolowanymi przez atakujących. Oprócz oszustw reklamowych, Konfety potrafi przekierowywać użytkowników na złośliwe strony internetowe, inicjować niechciane instalacje aplikacji i wysyłać uporczywe powiadomienia w przeglądarce, przypominające spam. Aby zwiększyć swoją niewidzialność, Konfety ukrywa ikonę aplikacji i wykorzystuje taktykę geofencingu, aby modyfikować swoje zachowanie w zależności od lokalizacji geograficznej ofiary.
Streszczenie
Ewolucja wirusa Konfety odzwierciedla wyraźny wzrost zaawansowania złośliwego oprogramowania mobilnego. Połączenie zaawansowanej manipulacji pakietami APK, dynamicznego wstrzykiwania kodu i zwodniczych konfiguracji świadczy o ciągłych innowacjach cyberprzestępców, którzy dążą do ominięcia zabezpieczeń i utrzymania się na zainfekowanych urządzeniach.
