Конфети мобилни злонамерни софтвер
Истраживачи сајбер безбедности открили су напредну варијанту озлоглашеног Андроид малвера, Конфети, који сада користи технику злог близанца за извођење великих рекламних превара. Ова метода наглашава растућу сложеност претњи усмерених на мобилне екосистеме.
Преглед садржаја
Објашњење стратегије злих близанаца
Новооткривени приступ подразумева креирање две верзије апликације које деле исти назив пакета. Једна верзија је легитимна, бенигна апликација често доступна на Google Play продавници, док се њен злонамерни пандан, „зли близанац“, дистрибуира преко извора трећих страна. Приметно је да апликација мамац не мора да потиче од самих нападача; у многим случајевима, то је аутентична апликација која се већ налази на Play продавници. Једини услов је да злонамерна верзија користи идентичан назив пакета, што помаже у прикривању њеног присуства.
Прилагодљивост и напредне технике
Актери који стоје иза Конфетија показали су изузетну прилагодљивост, често мењајући циљане рекламне мреже и усавршавајући технике како би избегли откривање. Најновија варијанта иде даље тако што мења ZIP структуру APK-а. Коришћењем неправилно форматираних APK-ова, нападачи заобилазе безбедносне провере и компликују напоре обрнутог инжењеринга. Они динамички учитавају главни корисни садржај Dalvik Executable (DEX) датотеке током извршавања, док истовремено омогућавају специфичну ZIP заставицу која обмањује систем да верује да је датотека шифрована. Ово ствара лажни захтев за лозинку током инспекције, ефикасно блокирајући аналитичаре да приступе садржају.
Трикови компресије и поремећај анализе
У још једном слоју замагљивања, Конфети лажно тврди да користи BZIP метод компресије унутар датотеке AndroidManifest.xml. Ово погрешно представљање може проузроковати грешке при парсирању, пад одређених алата за анализу и заустављање форензичких напора. Слично избегавање засновано на компресији је раније примећено код малвера SoumniBot, што сугерише да је ово део новог тренда у развоју малвера за Андроид.
Прикривено кроз динамичко учитавање кода
Динамичко учитавање кода игра кључну улогу у Конфетијевој прикривености. Злонамерни софтвер дешифрује и учитава свој DEX корисни садржај директно у меморију током извршавања, избегавајући уобичајене безбедносне провере које се дешавају током инсталације апликације или статичке анализе. У комбинацији са шифрованим средствима и обмањујућим уносима у манифест, ова слојевита стратегија обфускације чини Конфети посебно отпорним на откривање и обрнути инжењеринг.
Злонамерне могућности и геофенсинг
Као и раније верзије, Konfety интегрише CaramelAds SDK како би преузимао огласе, испоручио додатне корисне садржаје и одржавао комуникацију са серверима које контролишу нападачи. Поред преваре са огласима, поседује могућност преусмеравања корисника на злонамерне веб странице, покретања нежељених инсталација апликација и слања сталних обавештења прегледача сличних спаму. Као додатак својој прикривености, Konfety скрива икону своје апликације и користи тактику геофенсинга како би изменио своје понашање на основу географске локације жртве.
Резиме
Еволуција Конфетија одражава јасну ескалацију софистицираности мобилног злонамерног софтвера. Његова комбинација напредног мењања АПК-ова, динамичког убризгавања кода и обмањујућих конфигурација показује континуирану иновацију претњи које циљају да заобиђу безбедносне контроле и одрже постојаност на зараженим уређајима.
