Konfety Mobile Malware
Studiuesit e sigurisë kibernetike kanë zbuluar një variant të avancuar të malware-it famëkeq për Android, Konfety, i cili tani përdor teknikën e binjakeve të liga për të kryer mashtrime reklamash në shkallë të gjerë. Kjo metodë nënvizon kompleksitetin në rritje të kërcënimeve që synojnë ekosistemet mobile.
Tabela e Përmbajtjes
Strategjia e Keqe e Binjakëve e Shpjeguar
Qasja e vëzhguar rishtazi përfshin krijimin e dy versioneve të një aplikacioni që ndajnë të njëjtin emër pakete. Një version është një aplikacion legjitim dhe i mirë, shpesh i disponueshëm në Google Play Store, ndërsa homologu i tij keqdashës, "binjaku i keq", shpërndahet përmes burimeve të palëve të treta. Veçanërisht, aplikacioni mashtrues nuk ka pse të vijë nga vetë sulmuesit; në shumë raste, është një aplikacion autentik që ndodhet tashmë në Play Store. Kërkesa e vetme është që versioni keqdashës të përdorë emrin identik të paketës, gjë që ndihmon në maskimin e pranisë së tij.
Përshtatshmëria dhe Teknikat e Avancuara
Aktorët që qëndrojnë pas Konfety kanë treguar përshtatshmëri të jashtëzakonshme, duke ndryshuar shpesh rrjetet e reklamave të synuara dhe duke rafinuar teknikat për të shmangur zbulimin. Varianti më i fundit e çon këtë më tej duke ndërhyrë në strukturën ZIP të APK-së. Përmes përdorimit të APK-ve të keqformuara, sulmuesit anashkalojnë kontrollet e sigurisë dhe ndërlikojnë përpjekjet e inxhinierisë së kundërt. Ata ngarkojnë në mënyrë dinamike ngarkesën kryesore të Dalvik Executable (DEX) në kohën e ekzekutimit, ndërsa njëkohësisht aktivizojnë një flamur specifik ZIP që e mashtron sistemin duke e bërë të besojë se skedari është i enkriptuar. Kjo krijon një kërkesë për fjalëkalim të rremë gjatë inspektimit, duke bllokuar në mënyrë efektive analistët nga qasja në përmbajtje.
Truket e kompresimit dhe ndërprerja e analizës
Në një shtresë tjetër të errësimt, Konfety pretendon në mënyrë të rreme se përdor metodën e kompresimit BZIP brenda skedarit AndroidManifest.xml. Ky keqinterpretim mund të shkaktojë dështime në analizimin e të dhënave, duke rrëzuar disa mjete analize dhe duke penguar përpjekjet mjeko-ligjore. Shmangie e ngjashme e bazuar në kompresim është vërejtur më parë në malware-in SoumniBot, duke sugjeruar se kjo është pjesë e një trendi në zhvillim në zhvillimin e malware-it për Android.
Fshehtësi përmes ngarkimit dinamik të kodit
Ngarkimi dinamik i kodit luan një rol kyç në fshehtësinë e Konfety-t. Malware-i deshifron dhe ngarkon ngarkesën e tij DEX direkt në memorie gjatë ekzekutimit, duke shmangur kontrollet e zakonshme të sigurisë që ndodhin gjatë instalimit të aplikacionit ose analizës statike. I kombinuar me asete të enkriptuara dhe hyrje mashtruese të manifestit, kjo strategji e shtresuar e errësimit e bën Konfety-n veçanërisht rezistent ndaj zbulimit dhe inxhinierisë së kundërt.
Aftësitë keqdashëse dhe gjeofencimi
Ashtu si versionet e mëparshme, Konfety integron SDK-në e CaramelAds për të marrë reklama, për të ofruar ngarkesa shtesë dhe për të ruajtur komunikimin me serverat e kontrolluar nga sulmuesit. Përtej mashtrimit me reklamat, ai zotëron aftësinë për të ridrejtuar përdoruesit në faqet e internetit keqdashëse, për të filluar instalimet e aplikacioneve të padëshiruara dhe për të dërguar njoftime të vazhdueshme, të ngjashme me spam, në shfletues. Përveç fshehtësisë së tij, Konfety fsheh ikonën e aplikacionit dhe përdor taktika gjeofencimi për të modifikuar sjelljen e tij bazuar në vendndodhjen gjeografike të viktimës.
Përmbledhje
Evolucioni i Konfety pasqyron një përshkallëzim të qartë në sofistikimin e malware-it celular. Kombinimi i tij i manipulimit të avancuar të APK-ve, injektimit dinamik të kodit dhe konfigurimeve mashtruese demonstron inovacionin e vazhdueshëm të aktorëve kërcënues që synojnë të anashkalojnë kontrollet e sigurisë dhe të ruajnë qëndrueshmërinë në pajisjet e infektuara.
