Konfety Mobile Malware
Siber güvenlik araştırmacıları, kötü şöhretli Android kötü amaçlı yazılımı Konfety'nin gelişmiş bir versiyonunu ortaya çıkardı. Bu yazılım, artık büyük ölçekli reklam dolandırıcılığı yapmak için kötü ikiz tekniğini kullanıyor. Bu yöntem, mobil ekosistemleri hedef alan tehditlerin giderek karmaşıklaştığını gösteriyor.
İçindekiler
Kötü İkiz Stratejisi Açıklandı
Yeni gözlemlenen yaklaşım, aynı paket adını paylaşan iki uygulama sürümü oluşturmayı içeriyor. Sürümlerden biri, genellikle Google Play Store'da bulunan meşru ve zararsız bir uygulamayken, kötü niyetli muadili olan "kötü ikiz" üçüncü taraf kaynaklar aracılığıyla dağıtılıyor. Özellikle, sahte uygulamanın saldırganların kendisinden kaynaklanması gerekmiyor; çoğu durumda, Play Store'da zaten bulunan orijinal bir uygulama oluyor. Tek şart, kötü niyetli sürümün aynı paket adını kullanması; bu da varlığını gizlemeye yardımcı oluyor.
Uyarlanabilirlik ve Gelişmiş Teknikler
Konfety'nin arkasındaki aktörler, hedeflenen reklam ağlarını sık sık değiştirerek ve tespit edilmekten kaçınmak için teknikler geliştirerek olağanüstü bir uyum yeteneği gösterdiler. En son sürüm, APK'nin ZIP yapısını değiştirerek bunu daha da ileri götürüyor. Saldırganlar, hatalı biçimlendirilmiş APK'ler kullanarak güvenlik kontrollerini atlatıyor ve tersine mühendislik çalışmalarını zorlaştırıyor. Ana Dalvik Executable (DEX) yükünü çalışma zamanında dinamik olarak yüklerken, aynı zamanda sistemi dosyanın şifreli olduğuna inandıran belirli bir ZIP bayrağını etkinleştiriyorlar. Bu, inceleme sırasında sahte bir parola istemi oluşturarak analistlerin içeriğe erişmesini etkili bir şekilde engelliyor.
Sıkıştırma Hileleri ve Analiz Kesintisi
Konfety, AndroidManifest.xml dosyasında BZIP sıkıştırma yöntemini kullandığını iddia ederek yanıltıcı bir açıklama yapıyor. Bu yanlış beyan, ayrıştırma hatalarına, bazı analiz araçlarının çökmesine ve adli inceleme çalışmalarının sekteye uğramasına neden olabilir. Benzer sıkıştırma tabanlı kaçınma, daha önce SoumniBot kötü amaçlı yazılımında da gözlemlenmişti ve bu, Android kötü amaçlı yazılım geliştirmede ortaya çıkan yeni bir eğilimin parçası olduğunu düşündürüyor.
Dinamik Kod Yüklemesiyle Gizlice Hareket Etme
Dinamik kod yükleme, Konfety'nin gizliliğinde önemli bir rol oynar. Kötü amaçlı yazılım, yürütme sırasında DEX yükünü şifresini çözüp doğrudan belleğe yükleyerek, uygulama yükleme veya statik analiz sırasında gerçekleşen olağan güvenlik kontrollerinden kaçınır. Şifrelenmiş varlıklar ve yanıltıcı bildirim girişleriyle birleşen bu katmanlı gizleme stratejisi, Konfety'yi tespit ve tersine mühendisliğe karşı özellikle dirençli hale getirir.
Kötü Amaçlı Yetenekler ve Coğrafi Sınırlama
Önceki sürümlerde olduğu gibi, Konfety de reklamları almak, ek yükler sunmak ve saldırgan kontrolündeki sunucularla iletişimi sürdürmek için CaramelAds SDK'sını entegre ediyor. Reklam dolandırıcılığının yanı sıra, kullanıcıları kötü amaçlı web sitelerine yönlendirme, istenmeyen uygulama yüklemeleri başlatma ve kalıcı, spam benzeri tarayıcı bildirimleri gönderme yeteneğine de sahip. Gizliliğine ek olarak, Konfety uygulama simgesini gizler ve davranışını kurbanın coğrafi konumuna göre değiştirmek için coğrafi sınırlama taktikleri kullanır.
Özet
Konfety'nin evrimi, mobil kötü amaçlı yazılımların karmaşıklığındaki belirgin artışı yansıtıyor. Gelişmiş APK manipülasyonu, dinamik kod enjeksiyonu ve aldatıcı yapılandırmaların birleşimi, güvenlik kontrollerini aşmayı ve enfekte cihazlarda kalıcılığı korumayı hedefleyen tehdit aktörlerinin sürekli inovasyonunu gösteriyor.
