Мобильное вредоносное ПО Konfety
Исследователи кибербезопасности обнаружили усовершенствованную версию печально известного вредоносного ПО для Android Konfety, которая теперь использует технологию «злого двойника» для осуществления масштабного мошенничества с рекламой. Этот метод подчёркивает растущую сложность угроз, нацеленных на мобильные экосистемы.
Оглавление
Объяснение стратегии «Злого близнеца»
Новый подход предполагает создание двух версий приложения с одинаковым именем пакета. Одна версия представляет собой легитимное, безобидное приложение, часто доступное в Google Play Store, в то время как его вредоносный аналог, «злой близнец», распространяется через сторонние источники. Примечательно, что приложение-обманка не обязательно должно быть создано самими злоумышленниками; во многих случаях это настоящее приложение, уже представленное в Play Store. Единственное требование заключается в том, чтобы вредоносная версия использовала идентичное имя пакета, что помогает скрыть её присутствие.
Адаптивность и передовые методы
Авторы Konfety продемонстрировали впечатляющую адаптивность, часто изменяя целевые рекламные сети и совершенствуя методы обхода обнаружения. Последняя версия идёт ещё дальше, вмешиваясь в структуру ZIP-архива APK. Используя искажённые APK-файлы, злоумышленники обходят проверки безопасности и затрудняют обратную разработку. Они динамически загружают основной исполняемый файл Dalvik (DEX) во время выполнения, одновременно активируя определённый флаг ZIP, который вводит систему в заблуждение, заставляя её полагать, что файл зашифрован. Это создаёт ложный запрос пароля во время проверки, фактически блокируя аналитикам доступ к содержимому.
Хитрости сжатия и нарушение анализа
На другом уровне обфускации Konfety ложно заявляет об использовании метода сжатия BZIP в файле AndroidManifest.xml. Это искажение информации может привести к сбоям в работе анализатора, сбоям в работе некоторых аналитических инструментов и затормозить криминалистическую экспертизу. Похожий способ обхода защиты, основанный на сжатии, ранее наблюдался во вредоносной программе SoumniBot, что позволяет предположить наличие новой тенденции в разработке вредоносных программ для Android.
Скрытность за счет динамической загрузки кода
Динамическая загрузка кода играет ключевую роль в скрытности Konfety. Вредоносная программа расшифровывает и загружает свою полезную нагрузку DEX непосредственно в память во время выполнения, избегая обычных проверок безопасности, которые проводятся при установке приложения или статическом анализе. В сочетании с зашифрованными ресурсами и вводящими в заблуждение записями манифеста эта многоуровневая стратегия обфускации делает Konfety особенно устойчивой к обнаружению и реверс-инжинирингу.
Вредоносные возможности и геозонирование
Как и предыдущие версии, Konfety интегрирует CaramelAds SDK для получения рекламы, доставки дополнительных данных и поддержания связи с серверами, контролируемыми злоумышленниками. Помимо рекламного мошенничества, он обладает способностью перенаправлять пользователей на вредоносные веб-сайты, инициировать установку нежелательных приложений и отправлять браузеру назойливые уведомления, похожие на спам. Для большей скрытности Konfety скрывает значок своего приложения и использует тактику геозонирования, чтобы изменять своё поведение в зависимости от географического положения жертвы.
Краткое содержание
Эволюция Konfety отражает явный рост сложности мобильных вредоносных программ. Сочетание передовых методов подмены APK-файлов, внедрения динамического кода и обманных конфигураций демонстрирует постоянное стремление злоумышленников к инновациям, направленным на обход средств безопасности и сохранение присутствия на зараженных устройствах.
