Zlonamerna programska oprema za mobilne naprave Konfety
Raziskovalci kibernetske varnosti so odkrili napredno različico zloglasne zlonamerne programske opreme za Android, Konfety, ki zdaj izkorišča tehniko zlobnega dvojčka za izvajanje obsežnih oglaševalskih goljufij. Ta metoda poudarja vse večjo kompleksnost groženj, ki ciljajo na mobilne ekosisteme.
Kazalo
Razlaga strategije zlobnih dvojčkov
Novo opaženi pristop vključuje ustvarjanje dveh različic aplikacije, ki imata isto ime paketa. Ena različica je legitimna, neškodljiva aplikacija, ki je pogosto na voljo v trgovini Google Play, medtem ko se njen zlonamerni dvojnik, »zlobni dvojček«, distribuira prek virov tretjih oseb. Omeniti velja, da vabljiva aplikacija ne sme izvirati od samih napadalcev; v mnogih primerih gre za pristno aplikacijo, ki je že v trgovini Play. Edina zahteva je, da zlonamerna različica uporablja enako ime paketa, kar pomaga prikriti njeno prisotnost.
Prilagodljivost in napredne tehnike
Akterji, ki stojijo za Konfetyjem, so pokazali izjemno prilagodljivost, saj so pogosto spreminjali ciljna oglaševalska omrežja in izpopolnjevali tehnike, da bi se izognili odkrivanju. Najnovejša različica gre še dlje s spreminjanjem strukture ZIP datoteke APK. Z uporabo napačno oblikovanih APK-jev napadalci zaobidejo varnostne preglede in otežijo obratno inženirstvo. Med izvajanjem dinamično naložijo glavni koristni tovor Dalvik Executable (DEX), hkrati pa omogočijo posebno zastavico ZIP, ki sistem zavede v prepričanje, da je datoteka šifrirana. To med pregledom ustvari poziv za lažno geslo, kar analitikom učinkovito preprečuje dostop do vsebine.
Kompresijski triki in motnje analize
V drugi plasti zakrivanja Konfety lažno trdi, da uporablja metodo stiskanja BZIP v datoteki AndroidManifest.xml. Ta napačna predstavitev lahko povzroči napake pri razčlenjevanju, sesutje nekaterih orodij za analizo in oviranje forenzičnih prizadevanj. Podobno izogibanje na podlagi stiskanja je bilo že prej opaženo pri zlonamerni programski opremi SoumniBot, kar kaže na to, da je to del nastajajočega trenda v razvoju zlonamerne programske opreme za Android.
Prikritost z dinamičnim nalaganjem kode
Dinamično nalaganje kode igra ključno vlogo pri prikritosti Konfetyja. Zlonamerna programska oprema med izvajanjem dešifrira in naloži svoj DEX koristni tovor neposredno v pomnilnik, s čimer se izogne običajnim varnostnim preverjanjem, ki se izvajajo med namestitvijo aplikacije ali statično analizo. V kombinaciji s šifriranimi sredstvi in zavajajočimi vnosi v manifestu ta večplastna strategija zakrivanja naredi Konfety še posebej odporen na odkrivanje in obratno inženirstvo.
Zlonamerne zmogljivosti in geofencing
Tako kot prejšnje različice tudi Konfety integrira komplet za razvoj programske opreme CaramelAds za pridobivanje oglasov, zagotavljanje dodatnih koristnih vsebin in vzdrževanje komunikacije s strežniki, ki jih nadzorujejo napadalci. Poleg goljufij z oglasi ima tudi možnost preusmerjanja uporabnikov na zlonamerna spletna mesta, sprožitve neželenih namestitev aplikacij in prikazovanja trajnih obvestil brskalnika, podobnih neželeni pošti. Konfety za svojo prikritost skriva ikono aplikacije in uporablja taktiko geofencinga za spreminjanje svojega vedenja glede na geografsko lokacijo žrtve.
Povzetek
Razvoj Konfetyja odraža jasno stopnjevanje prefinjenosti mobilne zlonamerne programske opreme. Njegova kombinacija naprednega spreminjanja APK-jev, dinamičnega vbrizgavanja kode in zavajajočih konfiguracij dokazuje nenehno inovativnost akterjev groženj, ki si prizadevajo zaobiti varnostne kontrole in ohraniti varnost na okuženih napravah.
