Konfety Mobile Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang advanced na variant ng kilalang-kilalang Android malware, ang Konfety, na ngayon ay gumagamit ng masamang kambal na pamamaraan upang magsagawa ng malakihang panloloko sa ad. Binibigyang-diin ng paraang ito ang lumalaking kumplikado ng mga banta na nagta-target sa mga mobile ecosystem.

Ipinaliwanag ang Evil Twin Strategy

Ang bagong naobserbahang diskarte ay nagsasangkot ng paglikha ng dalawang bersyon ng isang application na may parehong pangalan ng package. Ang isang bersyon ay isang lehitimong, benign app na kadalasang available sa Google Play Store, habang ang malisyosong katapat nito, ang 'evil twin,' ay ipinamamahagi sa pamamagitan ng mga third-party na source. Kapansin-pansin, ang decoy app ay hindi kailangang magmula sa mismong mga umaatake; sa maraming pagkakataon, isa itong tunay na app na nasa Play Store na. Ang tanging kinakailangan ay ang malisyosong bersyon ay gumagamit ng magkaparehong pangalan ng package, na tumutulong sa pagtatago ng presensya nito.

Kakayahang umangkop at Mga Advanced na Teknik

Ang mga aktor sa likod ng Konfety ay nagpakita ng kahanga-hangang kakayahang umangkop, madalas na binabago ang mga naka-target na network ng ad at mga diskarte sa pagpino upang maiwasan ang pagtuklas. Ang pinakahuling variant ay higit pa itong ginagawa sa pamamagitan ng pakikialam sa ZIP structure ng APK. Sa pamamagitan ng paggamit ng mga hindi maayos na APK, ang mga umaatake ay lumalampas sa mga pagsusuri sa seguridad at nagpapalubha ng mga pagsisikap sa reverse-engineering. Sila ay dynamic na naglo-load ng pangunahing Dalvik Executable (DEX) payload sa runtime, habang sabay-sabay na pinapagana ang isang partikular na ZIP flag na nanlilinlang sa system sa paniniwalang ang file ay naka-encrypt. Lumilikha ito ng isang maling password na prompt sa panahon ng inspeksyon, na epektibong humahadlang sa mga analyst mula sa pag-access sa mga nilalaman.

Mga Trick sa Compression at Pagkagambala sa Pagsusuri

Sa isa pang layer ng obfuscation, maling sinasabi ni Konfety na ginagamit niya ang BZIP compression method sa loob ng AndroidManifest.xml file. Ang maling representasyong ito ay maaaring magdulot ng mga pagkabigo sa pag-parse, pag-crash ng ilang partikular na tool sa pagsusuri at pagtigil sa mga pagsusumikap sa forensic. Ang katulad na pag-iwas na nakabatay sa compression ay dating naobserbahan sa SoumniBot malware, na nagmumungkahi na ito ay bahagi ng isang umuusbong na trend sa pag-develop ng Android malware.

Stealth Sa pamamagitan ng Dynamic Code Loading

Ang dinamikong pag-load ng code ay gumaganap ng isang mahalagang papel sa pagkukunwari ni Konfety. Ang malware ay nagde-decrypt at naglo-load ng DEX payload nito nang direkta sa memorya sa panahon ng pagpapatupad, na iniiwasan ang mga karaniwang pagsusuri sa seguridad na nangyayari sa panahon ng pag-install ng app o static na pagsusuri. Kasama ng mga naka-encrypt na asset at mapanlinlang na manifest entries, ang layered obfuscation na diskarte na ito ay ginagawang partikular na nababanat ang Konfety laban sa pagtuklas at reverse engineering.

Mga Nakakahamak na Kakayahan at Geofencing

Tulad ng mga naunang pag-ulit, isinasama ng Konfety ang CaramelAds SDK para kumuha ng mga advertisement, maghatid ng mga karagdagang payload, at mapanatili ang komunikasyon sa mga server na kontrolado ng attacker. Higit pa sa panloloko sa ad, nagtataglay ito ng kakayahang mag-redirect ng mga user sa mga nakakahamak na website, magpasimula ng mga hindi gustong pag-install ng app, at mag-push ng paulit-ulit, tulad ng spam na mga notification sa browser. Dagdag pa sa palihim nito, itinatago ng Konfety ang icon ng app nito at gumagamit ng mga taktika ng geofencing upang baguhin ang gawi nito batay sa heyograpikong lokasyon ng biktima.

Buod

Ang ebolusyon ng Konfety ay nagpapakita ng isang malinaw na pagtaas sa pagiging sopistikado ng mobile malware. Ang kumbinasyon nito ng advanced na APK tampering, dynamic code injection, at mapanlinlang na mga configuration ay nagpapakita ng patuloy na pagbabago ng mga banta ng aktor na naglalayong i-bypass ang mga kontrol sa seguridad at mapanatili ang pagtitiyaga sa mga nahawaang device.