Konfety mobil skadlig kod
Cybersäkerhetsforskare har upptäckt en avancerad variant av den ökända Android-skadliga programvaran Konfety, som nu utnyttjar den onda tvillingtekniken för att utföra storskaliga annonsbedrägerier. Denna metod understryker den växande komplexiteten hos hot som riktar sig mot mobila ekosystem.
Innehållsförteckning
Den onda tvillingstrategin förklarad
Den nyligen observerade metoden innebär att skapa två versioner av en applikation som delar samma paketnamn. En version är en legitim, godartad app som ofta finns tillgänglig i Google Play Store, medan dess skadliga motsvarighet, den "onda tvillingen", distribueras via tredjepartskällor. Det är värt att notera att lockbeteappen inte behöver komma från angriparna själva; i många fall är det en autentisk app som redan finns i Play Store. Det enda kravet är att den skadliga versionen använder identiskt paketnamn, vilket hjälper till att dölja dess närvaro.
Anpassningsförmåga och avancerade tekniker
Aktörerna bakom Konfety har visat anmärkningsvärd anpassningsförmåga och har ofta ändrat riktade annonsnätverk och förfinat tekniker för att undvika upptäckt. Den senaste varianten tar detta ett steg längre genom att manipulera APK:ns ZIP-struktur. Genom att använda felaktigt utformade APK:er kringgår angripare säkerhetskontroller och komplicerar reverse engineering-arbetet. De laddar dynamiskt den huvudsakliga Dalvik Executable (DEX)-nyttolasten vid körning, samtidigt som de aktiverar en specifik ZIP-flagga som vilseleder systemet att tro att filen är krypterad. Detta skapar en falsk lösenordsfråga under inspektionen, vilket effektivt blockerar analytiker från att komma åt innehållet.
Kompressionsknep och analysstörningar
I ytterligare ett lager av förvirring påstår Konfety falskeligen att de använder BZIP-komprimeringsmetoden i AndroidManifest.xml-filen. Denna felaktiga framställning kan orsaka parsningsfel, krascha vissa analysverktyg och stoppa forensiska ansträngningar. Liknande komprimeringsbaserad undvikande observerades tidigare i den skadliga programvaran SoumniBot, vilket tyder på att detta är en del av en framväxande trend inom utveckling av Android-skadlig programvara.
Stealth genom dynamisk kodladdning
Dynamisk kodinläsning spelar en avgörande roll i Konfetys smygande förmåga. Skadlig programvara dekrypterar och laddar sin DEX-nyttolast direkt i minnet under körning, vilket undviker de vanliga säkerhetskontrollerna som sker under appinstallation eller statisk analys. I kombination med krypterade tillgångar och vilseledande manifestposter gör denna skiktade förvirringsstrategi Konfety särskilt motståndskraftig mot detektering och reverse engineering.
Skadliga funktioner och geofencing
Liksom tidigare versioner integrerar Konfety CaramelAds SDK för att hämta annonser, leverera ytterligare nyttolaster och upprätthålla kommunikation med angriparkontrollerade servrar. Utöver annonsbedrägerier har den förmågan att omdirigera användare till skadliga webbplatser, initiera oönskade appinstallationer och skicka ihållande, spam-liknande webbläsaraviseringar. Konfety döljer sin appikon och använder geofencing-taktik för att modifiera sitt beteende baserat på offrets geografiska plats.
Sammanfattning
Utvecklingen av Konfety återspeglar en tydlig eskalering av sofistikeringen av mobil skadlig kod. Dess kombination av avancerad APK-manipulering, dynamisk kodinjektion och vilseledande konfigurationer visar på den kontinuerliga innovationen hos hotaktörer som strävar efter att kringgå säkerhetskontroller och bibehålla beständighet på infekterade enheter.
