มัลแวร์มือถือ Konfety
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบมัลแวร์แอนดรอยด์ตัวใหม่ชื่อ Konfety ซึ่งปัจจุบันใช้เทคนิคฝาแฝดชั่วร้าย (Evil Twin) เพื่อฉ้อโกงโฆษณาขนาดใหญ่ วิธีการนี้เน้นย้ำถึงความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามที่พุ่งเป้าไปที่ระบบนิเวศมือถือ
สารบัญ
อธิบายกลยุทธ์ฝาแฝดชั่วร้าย
แนวทางใหม่นี้เกี่ยวข้องกับการสร้างแอปพลิเคชันสองเวอร์ชันที่มีชื่อแพ็กเกจเดียวกัน เวอร์ชันหนึ่งเป็นแอปที่ถูกต้องและไม่เป็นอันตราย ซึ่งมักพบใน Google Play Store ในขณะที่เวอร์ชันที่เป็นอันตรายซึ่งก็คือ 'ฝาแฝดผู้ชั่วร้าย' นั้นถูกเผยแพร่ผ่านแหล่งที่มาของบุคคลที่สาม ที่น่าสังเกตคือ แอปหลอกลวงไม่จำเป็นต้องมาจากผู้โจมตีเอง ในหลายกรณี แอปดังกล่าวเป็นแอปจริงที่มีอยู่ใน Play Store อยู่แล้ว ข้อกำหนดเพียงอย่างเดียวคือเวอร์ชันที่เป็นอันตรายนั้นต้องใช้ชื่อแพ็กเกจที่เหมือนกัน ซึ่งจะช่วยอำพรางการมีอยู่ของแอปได้
ความสามารถในการปรับตัวและเทคนิคขั้นสูง
ผู้อยู่เบื้องหลัง Konfety ได้แสดงให้เห็นถึงความสามารถในการปรับตัวที่โดดเด่น โดยปรับเปลี่ยนเครือข่ายโฆษณาเป้าหมายและปรับปรุงเทคนิคต่างๆ เพื่อหลบเลี่ยงการตรวจจับอยู่บ่อยครั้ง เวอร์ชันล่าสุดนี้พัฒนาไปอีกขั้นด้วยการแทรกแซงโครงสร้าง ZIP ของ APK ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบความปลอดภัยและทำให้กระบวนการวิศวกรรมย้อนกลับมีความซับซ้อนมากขึ้นด้วยการใช้ APK ที่มีรูปแบบไม่ถูกต้อง พวกเขาจะโหลดเพย์โหลด Dalvik Executable (DEX) หลักแบบไดนามิกขณะรันไทม์ ขณะเดียวกันก็เปิดใช้งานแฟล็ก ZIP เฉพาะที่ทำให้ระบบเข้าใจผิดว่าไฟล์นั้นถูกเข้ารหัส การทำเช่นนี้จะสร้างการแจ้งรหัสผ่านปลอมระหว่างการตรวจสอบ ซึ่งส่งผลให้นักวิเคราะห์ไม่สามารถเข้าถึงเนื้อหาได้
เคล็ดลับการบีบอัดและการวิเคราะห์การหยุดชะงัก
ในอีกชั้นหนึ่งของความสับสน Konfety อ้างอย่างผิด ๆ ว่าใช้วิธีการบีบอัด BZIP ภายในไฟล์ AndroidManifest.xml การบิดเบือนข้อมูลนี้อาจทำให้เกิดความล้มเหลวในการแยกวิเคราะห์ เครื่องมือวิเคราะห์บางตัวหยุดทำงาน และความพยายามในการตรวจสอบทางนิติวิทยาศาสตร์หยุดชะงัก ก่อนหน้านี้พบการหลบเลี่ยงการบีบอัดข้อมูลแบบเดียวกันนี้ในมัลแวร์ SoumniBot ซึ่งบ่งชี้ว่านี่เป็นส่วนหนึ่งของแนวโน้มใหม่ในการพัฒนามัลแวร์ Android
การแอบซ่อนผ่านการโหลดโค้ดแบบไดนามิก
การโหลดโค้ดแบบไดนามิกมีบทบาทสำคัญในการซ่อนตัวของ Konfety มัลแวร์จะถอดรหัสและโหลดเพย์โหลด DEX ลงในหน่วยความจำโดยตรงระหว่างการทำงาน หลีกเลี่ยงการตรวจสอบความปลอดภัยตามปกติที่เกิดขึ้นระหว่างการติดตั้งแอปหรือการวิเคราะห์แบบคงที่ เมื่อรวมกับสินทรัพย์ที่เข้ารหัสและรายการแมนิเฟสต์ที่ทำให้เข้าใจผิด กลยุทธ์การบดบังแบบหลายชั้นนี้ทำให้ Konfety ทนทานเป็นพิเศษต่อการตรวจจับและวิศวกรรมย้อนกลับ
ความสามารถที่เป็นอันตรายและการกำหนดขอบเขตทางภูมิศาสตร์
เช่นเดียวกับเวอร์ชันก่อนหน้า Konfety ได้ผสานรวม CaramelAds SDK เพื่อดึงโฆษณา ส่งเพย์โหลดเพิ่มเติม และรักษาการสื่อสารกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม นอกจากการฉ้อโกงโฆษณาแล้ว Konfety ยังมีความสามารถในการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย เริ่มการติดตั้งแอปพลิเคชันที่ไม่ต้องการ และส่งการแจ้งเตือนเบราว์เซอร์ที่ดูเหมือนสแปมอย่างต่อเนื่อง นอกจากนี้ Konfety ยังซ่อนไอคอนแอปและใช้กลยุทธ์ geofencing เพื่อปรับเปลี่ยนพฤติกรรมตามตำแหน่งทางภูมิศาสตร์ของเหยื่อ
สรุป
วิวัฒนาการของ Konfety สะท้อนให้เห็นถึงความก้าวหน้าของมัลแวร์บนมือถือที่พัฒนาอย่างก้าวกระโดด การผสมผสานระหว่างการแทรกซึม APK ขั้นสูง การแทรกโค้ดแบบไดนามิก และการกำหนดค่าที่หลอกลวง แสดงให้เห็นถึงนวัตกรรมที่ต่อเนื่องของผู้ก่อภัยคุกคามที่มุ่งหวังจะหลีกเลี่ยงการควบคุมความปลอดภัยและรักษาการคงอยู่ในอุปกรณ์ที่ติดไวรัส
