Мобільне шкідливе програмне забезпечення Konfety
Дослідники з кібербезпеки виявили вдосконалений варіант сумнозвісного шкідливого програмного забезпечення для Android, Konfety, який тепер використовує техніку «злого близнюка» для здійснення масштабного рекламного шахрайства. Цей метод підкреслює зростаючу складність загроз, спрямованих на мобільні екосистеми.
Зміст
Пояснення стратегії злого близнюка
Новий підхід передбачає створення двох версій програми з однаковою назвою пакета. Одна версія — це легітимний, безпечний додаток, часто доступний у Google Play Store, тоді як його шкідливий аналог, «злий близнюк», розповсюджується через сторонні джерела. Примітно, що програма-приманка не обов'язково має походити від самих зловмисників; у багатьох випадках це автентична програма, яка вже є в Play Store. Єдина вимога полягає в тому, щоб шкідлива версія використовувала ідентичну назву пакета, що допомагає замаскувати її присутність.
Адаптивність та передові методи
Виконавці Konfety продемонстрували вражаючу адаптивність, часто змінюючи цільові рекламні мережі та вдосконалюючи методи уникнення виявлення. Останній варіант йде ще далі, втручаючи в структуру ZIP-архіву APK. Використовуючи пошкоджені APK, зловмисники обходять перевірки безпеки та ускладнюють зворотне проектування. Вони динамічно завантажують основне корисне навантаження Dalvik Executable (DEX) під час виконання, одночасно вмикаючи спеціальний прапорець ZIP, який вводить систему в оману, змушуючи її вважати файл зашифрованим. Це створює запит на хибний пароль під час перевірки, фактично блокуючи аналітиків від доступу до вмісту.
Хитрощі стиснення та порушення аналізу
На іншому рівні обфускації Konfety неправдиво стверджує, що використовує метод стиснення BZIP у файлі AndroidManifest.xml. Це перекручування може призвести до збоїв парсингу, збоїв певних інструментів аналізу та зупинки судово-медичних зусиль. Подібне ухилення на основі стиснення раніше спостерігалося у шкідливому програмному забезпеченні SoumniBot, що свідчить про те, що це частина нової тенденції в розробці шкідливого програмного забезпечення для Android.
Прихованість через динамічне завантаження коду
Динамічне завантаження коду відіграє ключову роль у прихованості Konfety. Шкідливе програмне забезпечення розшифровує та завантажує корисне навантаження DEX безпосередньо в пам'ять під час виконання, уникаючи звичайних перевірок безпеки, які відбуваються під час встановлення програми або статичного аналізу. У поєднанні із зашифрованими активами та оманливими записами маніфесту ця багаторівнева стратегія обфускації робить Konfety особливо стійким до виявлення та зворотного проектування.
Шкідливі можливості та геозонування
Як і попередні версії, Konfety інтегрує SDK CaramelAds для отримання реклами, доставки додаткових корисних навантажень та підтримки зв'язку із серверами, контрольованими зловмисниками. Окрім шахрайства з рекламою, він має можливість перенаправляти користувачів на шкідливі веб-сайти, ініціювати встановлення небажаних програм та надсилати постійні, схожі на спам, сповіщення браузера. Конфеті, що додає йому прихованості, приховує значок програми та використовує тактику геозонування, щоб змінювати свою поведінку на основі географічного розташування жертви.
Короткий зміст
Еволюція Konfety відображає явне зростання складності мобільних шкідливих програм. Його поєднання вдосконалених методів втручання в APK, динамічного впровадження коду та оманливих конфігурацій демонструє постійні інновації з боку зловмисників, які прагнуть обійти засоби контролю безпеки та підтримувати їх на заражених пристроях.
