Mobilný malvér Konfety
Výskumníci v oblasti kybernetickej bezpečnosti odhalili pokročilý variant notoricky známeho malvéru pre Android s názvom Konfety, ktorý teraz využíva techniku zlého dvojčaťa na vykonávanie rozsiahlych reklamných podvodov. Táto metóda podčiarkuje rastúcu komplexnosť hrozieb zameraných na mobilné ekosystémy.
Obsah
Vysvetlenie stratégie zlého dvojčaťa
Novo pozorovaný prístup zahŕňa vytvorenie dvoch verzií aplikácie, ktoré zdieľajú rovnaký názov balíka. Jedna verzia je legitímna, neškodná aplikácia, ktorá je často dostupná v Obchode Google Play, zatiaľ čo jej škodlivý náprotivok, „zlé dvojča“, je distribuovaný prostredníctvom zdrojov tretích strán. Je pozoruhodné, že návnadová aplikácia nemusí pochádzať od samotných útočníkov; v mnohých prípadoch ide o autentickú aplikáciu, ktorá je už v Obchode Play. Jedinou požiadavkou je, aby škodlivá verzia používala rovnaký názov balíka, čo pomáha maskovať jej prítomnosť.
Prispôsobivosť a pokročilé techniky
Útočníci stojaci za vírusom Konfety preukázali pozoruhodnú prispôsobivosť, často menili cielené reklamné siete a zdokonaľovali techniky, aby sa vyhli odhaleniu. Najnovší variant ide ešte ďalej manipuláciou so štruktúrou ZIP súboru APK. Použitím chybne formátovaných súborov APK útočníci obchádzajú bezpečnostné kontroly a komplikujú reverzné inžinierstvo. Dynamicky načítavajú hlavný súbor Dalvik Executable (DEX) počas behu a zároveň povolia špecifický príznak ZIP, ktorý systém zavádza a presvedčí ho, že súbor je šifrovaný. To počas kontroly vytvára výzvu na zadanie falošného hesla, čím analytikom efektívne blokuje prístup k obsahu.
Kompresné triky a narušenie analýzy
V ďalšej vrstve zahmlievania Konfety nepravdivo tvrdí, že v súbore AndroidManifest.xml používa metódu kompresie BZIP. Toto skreslenie môže spôsobiť zlyhania pri parsovaní, pády niektorých analytických nástrojov a zastavenie forenzných snáh. Podobné obchádzanie založené na kompresii bolo predtým pozorované v malvéri SoumniBot, čo naznačuje, že ide o súčasť nového trendu vo vývoji malvéru pre Android.
Nenápadnosť prostredníctvom dynamického načítavania kódu
Dynamické načítavanie kódu zohráva kľúčovú úlohu v utajení Konfety. Malvér dešifruje a načítava svoj DEX dátový obsah priamo do pamäte počas vykonávania, čím sa vyhýba bežným bezpečnostným kontrolám, ktoré sa vykonávajú počas inštalácie aplikácie alebo statickej analýzy. V kombinácii so šifrovanými aktívami a zavádzajúcimi položkami manifestu robí táto viacvrstvová stratégia obfuskacie Konfety obzvlášť odolným voči detekcii a reverznému inžinierstvu.
Škodlivé schopnosti a geofencing
Rovnako ako predchádzajúce verzie, aj Konfety integruje sadu CaramelAds SDK na načítanie reklám, doručovanie ďalších údajov a udržiavanie komunikácie so servermi ovládanými útočníkom. Okrem reklamných podvodov dokáže presmerovať používateľov na škodlivé webové stránky, iniciovať inštaláciu nechcených aplikácií a zobrazovať trvalé upozornenia prehliadača podobné spamu. Konfety navyše skryje ikonu aplikácie a využíva taktiku geofencingu na úpravu svojho správania na základe geografickej polohy obete.
Zhrnutie
Vývoj Konfety odráža jasnú eskaláciu sofistikovanosti mobilného malvéru. Jeho kombinácia pokročilej manipulácie s APK súbormi, dynamického vkladania kódu a klamlivých konfigurácií demonštruje neustálu inováciu aktérov hrozieb, ktorí sa snažia obísť bezpečnostné kontroly a udržať ich na infikovaných zariadeniach.
