కాన్ఫెటీ మొబైల్ మాల్వేర్

సైబర్ భద్రతా పరిశోధకులు అపఖ్యాతి పాలైన ఆండ్రాయిడ్ మాల్వేర్, కాన్ఫెటీ యొక్క అధునాతన వేరియంట్‌ను కనుగొన్నారు, ఇది ఇప్పుడు పెద్ద ఎత్తున ప్రకటన మోసాన్ని నిర్వహించడానికి దుష్ట జంట సాంకేతికతను ఉపయోగిస్తుంది. ఈ పద్ధతి మొబైల్ పర్యావరణ వ్యవస్థలను లక్ష్యంగా చేసుకునే ముప్పుల పెరుగుతున్న సంక్లిష్టతను నొక్కి చెబుతుంది.

ఈవిల్ ట్విన్ వ్యూహం వివరించబడింది

కొత్తగా పరిశీలించిన విధానం ప్రకారం, ఒకే ప్యాకేజీ పేరును పంచుకునే అప్లికేషన్ యొక్క రెండు వెర్షన్‌లను సృష్టించడం జరుగుతుంది. ఒక వెర్షన్ అనేది Google Play Storeలో తరచుగా అందుబాటులో ఉండే చట్టబద్ధమైన, నిరపాయకరమైన యాప్, అయితే దాని హానికరమైన ప్రతిరూపం, 'దుష్ట జంట', మూడవ పక్ష మూలాల ద్వారా పంపిణీ చేయబడుతుంది. ముఖ్యంగా, డెకోయ్ యాప్ దాడి చేసేవారి నుండే ఉద్భవించాల్సిన అవసరం లేదు; చాలా సందర్భాలలో, ఇది ఇప్పటికే Play Storeలో ఉన్న ప్రామాణికమైన యాప్. హానికరమైన వెర్షన్ ఒకేలాంటి ప్యాకేజీ పేరును ఉపయోగించాలి, ఇది దాని ఉనికిని దాచిపెట్టడంలో సహాయపడుతుంది.

అనుకూలత మరియు అధునాతన పద్ధతులు

కాన్ఫెటీ వెనుక ఉన్న నటులు అద్భుతమైన అనుకూలతను ప్రదర్శించారు, తరచుగా లక్ష్యంగా చేసుకున్న ప్రకటన నెట్‌వర్క్‌లను మారుస్తున్నారు మరియు గుర్తింపును తప్పించుకోవడానికి పద్ధతులను మెరుగుపరుస్తున్నారు. తాజా వేరియంట్ APK యొక్క ZIP నిర్మాణాన్ని ట్యాంపర్ చేయడం ద్వారా దీనిని మరింత ముందుకు తీసుకువెళుతుంది. తప్పుగా రూపొందించబడిన APKల వాడకం ద్వారా, దాడి చేసేవారు భద్రతా తనిఖీలను దాటవేసి రివర్స్-ఇంజనీరింగ్ ప్రయత్నాలను క్లిష్టతరం చేస్తారు. వారు రన్‌టైమ్‌లో ప్రధాన డాల్విక్ ఎగ్జిక్యూటబుల్ (DEX) పేలోడ్‌ను డైనమిక్‌గా లోడ్ చేస్తారు, అదే సమయంలో ఫైల్ ఎన్‌క్రిప్ట్ చేయబడిందని నమ్మేలా సిస్టమ్‌ను తప్పుదారి పట్టించే నిర్దిష్ట ZIP ఫ్లాగ్‌ను ప్రారంభిస్తారు. ఇది తనిఖీ సమయంలో తప్పుడు పాస్‌వర్డ్ ప్రాంప్ట్‌ను సృష్టిస్తుంది, విశ్లేషకులు కంటెంట్‌లను యాక్సెస్ చేయకుండా సమర్థవంతంగా బ్లాక్ చేస్తుంది.

కంప్రెషన్ ట్రిక్స్ మరియు విశ్లేషణ అంతరాయం

మరో అస్పష్టమైన పొరలో, Konfety AndroidManifest.xml ఫైల్‌లో BZIP కంప్రెషన్ పద్ధతిని ఉపయోగిస్తున్నట్లు తప్పుగా పేర్కొంది. ఈ తప్పుడు ప్రాతినిధ్యం పార్సింగ్ వైఫల్యాలకు, కొన్ని విశ్లేషణ సాధనాలను క్రాష్ చేయడానికి మరియు ఫోరెన్సిక్ ప్రయత్నాలను నిలిపివేయడానికి కారణమవుతుంది. ఇలాంటి కంప్రెషన్-ఆధారిత ఎగవేత గతంలో SoumniBot మాల్వేర్‌లో గమనించబడింది, ఇది Android మాల్వేర్ అభివృద్ధిలో అభివృద్ధి చెందుతున్న ధోరణిలో భాగమని సూచిస్తుంది.

స్టీల్త్ త్రూ డైనమిక్ కోడ్ లోడింగ్

కాన్ఫెటీ యొక్క స్టెల్త్‌లో డైనమిక్ కోడ్ లోడింగ్ కీలక పాత్ర పోషిస్తుంది. మాల్వేర్ దాని DEX పేలోడ్‌ను అమలు సమయంలో నేరుగా మెమరీలోకి డీక్రిప్ట్ చేసి లోడ్ చేస్తుంది, యాప్ ఇన్‌స్టాలేషన్ లేదా స్టాటిక్ విశ్లేషణ సమయంలో జరిగే సాధారణ భద్రతా తనిఖీలను నివారిస్తుంది. ఎన్‌క్రిప్టెడ్ ఆస్తులు మరియు తప్పుదారి పట్టించే మానిఫెస్ట్ ఎంట్రీలతో కలిపి, ఈ లేయర్డ్ అస్పష్టత వ్యూహం కాన్ఫెటీని డిటెక్షన్ మరియు రివర్స్ ఇంజనీరింగ్‌కు వ్యతిరేకంగా ప్రత్యేకంగా స్థితిస్థాపకంగా చేస్తుంది.

హానికరమైన సామర్థ్యాలు మరియు జియోఫెన్సింగ్

మునుపటి పునరావృతాల మాదిరిగానే, ప్రకటనలను పొందడానికి, అదనపు పేలోడ్‌లను అందించడానికి మరియు దాడి చేసేవారి-నియంత్రిత సర్వర్‌లతో కమ్యూనికేషన్‌ను నిర్వహించడానికి Konfety CaramelAds SDKని అనుసంధానిస్తుంది. ప్రకటన మోసానికి మించి, వినియోగదారులను హానికరమైన వెబ్‌సైట్‌లకు దారి మళ్లించే, అవాంఛిత యాప్ ఇన్‌స్టాలేషన్‌లను ప్రారంభించే మరియు నిరంతర, స్పామ్ లాంటి బ్రౌజర్ నోటిఫికేషన్‌లను నెట్టగల సామర్థ్యాన్ని ఇది కలిగి ఉంటుంది. దాని స్టెల్త్‌కు అదనంగా, Konfety దాని యాప్ చిహ్నాన్ని దాచిపెడుతుంది మరియు బాధితుడి భౌగోళిక స్థానం ఆధారంగా దాని ప్రవర్తనను సవరించడానికి జియోఫెన్సింగ్ వ్యూహాలను ఉపయోగిస్తుంది.

సారాంశం

కాన్ఫెటీ పరిణామం మొబైల్ మాల్వేర్ అధునాతనతలో స్పష్టమైన పెరుగుదలను ప్రతిబింబిస్తుంది. అధునాతన APK ట్యాంపరింగ్, డైనమిక్ కోడ్ ఇంజెక్షన్ మరియు మోసపూరిత కాన్ఫిగరేషన్‌ల కలయిక భద్రతా నియంత్రణలను దాటవేయడం మరియు సోకిన పరికరాలపై నిలకడను కొనసాగించడం లక్ష్యంగా బెదిరింపు నటుల నిరంతర ఆవిష్కరణను ప్రదర్శిస్తుంది.