Phần mềm độc hại Konfety Mobile
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể tiên tiến của phần mềm độc hại khét tiếng trên Android, Konfety, hiện đang lợi dụng kỹ thuật "song sinh độc ác" để thực hiện gian lận quảng cáo trên quy mô lớn. Phương pháp này nhấn mạnh sự phức tạp ngày càng tăng của các mối đe dọa nhắm vào hệ sinh thái di động.
Mục lục
Giải thích về chiến lược Evil Twin
Phương pháp mới được quan sát bao gồm việc tạo ra hai phiên bản của một ứng dụng có cùng tên gói. Một phiên bản là ứng dụng hợp pháp, lành tính thường có sẵn trên Cửa hàng Google Play, trong khi phiên bản độc hại, "bản sao xấu xa", được phân phối thông qua các nguồn của bên thứ ba. Đáng chú ý, ứng dụng mồi nhử không nhất thiết phải xuất phát từ chính kẻ tấn công; trong nhiều trường hợp, nó là một ứng dụng chính hãng đã có trên Cửa hàng Play. Yêu cầu duy nhất là phiên bản độc hại phải sử dụng cùng tên gói, giúp che giấu sự hiện diện của nó.
Khả năng thích ứng và kỹ thuật tiên tiến
Những kẻ đứng sau Konfety đã thể hiện khả năng thích ứng đáng kinh ngạc, thường xuyên thay đổi các mạng quảng cáo mục tiêu và tinh chỉnh các kỹ thuật để tránh bị phát hiện. Biến thể mới nhất còn đi xa hơn bằng cách can thiệp vào cấu trúc ZIP của APK. Thông qua việc sử dụng các APK bị lỗi, kẻ tấn công vượt qua các bước kiểm tra bảo mật và làm phức tạp thêm các nỗ lực dịch ngược. Chúng tự động tải payload Dalvik Executable (DEX) chính khi chạy, đồng thời kích hoạt một cờ ZIP cụ thể khiến hệ thống nhầm tưởng rằng tệp đã được mã hóa. Điều này tạo ra một lời nhắc nhập mật khẩu giả trong quá trình kiểm tra, ngăn chặn các nhà phân tích truy cập nội dung.
Thủ thuật nén và phân tích sự gián đoạn
Trong một lớp che giấu khác, Konfety đã khai man việc sử dụng phương pháp nén BZIP trong tệp AndroidManifest.xml. Việc khai man này có thể gây ra lỗi phân tích cú pháp, làm sập một số công cụ phân tích và làm trì hoãn các nỗ lực điều tra. Việc né tránh dựa trên nén tương tự đã được quan sát thấy trước đây trong phần mềm độc hại SoumniBot, cho thấy đây là một phần của xu hướng mới nổi trong phát triển phần mềm độc hại Android.
Tàng hình thông qua tải mã động
Tải mã động đóng vai trò then chốt trong khả năng tàng hình của Konfety. Phần mềm độc hại giải mã và tải trực tiếp payload DEX vào bộ nhớ trong quá trình thực thi, tránh các bước kiểm tra bảo mật thông thường diễn ra trong quá trình cài đặt ứng dụng hoặc phân tích tĩnh. Kết hợp với các tài sản được mã hóa và các mục manifest gây hiểu lầm, chiến lược che giấu nhiều lớp này giúp Konfety đặc biệt chống lại việc phát hiện và kỹ thuật đảo ngược.
Khả năng độc hại và hàng rào địa lý
Giống như các phiên bản trước, Konfety tích hợp SDK CaramelAds để tìm kiếm quảng cáo, phân phối các gói tin bổ sung và duy trì liên lạc với các máy chủ do kẻ tấn công kiểm soát. Ngoài gian lận quảng cáo, nó còn có khả năng chuyển hướng người dùng đến các trang web độc hại, khởi tạo các cài đặt ứng dụng không mong muốn và đẩy các thông báo trình duyệt liên tục, giống như thư rác. Để tăng cường khả năng ẩn danh, Konfety còn ẩn biểu tượng ứng dụng và sử dụng các chiến thuật định vị địa lý để điều chỉnh hành vi dựa trên vị trí địa lý của nạn nhân.
Bản tóm tắt
Sự phát triển của Konfety phản ánh sự leo thang rõ rệt về mức độ tinh vi của phần mềm độc hại di động. Sự kết hợp giữa việc giả mạo APK tiên tiến, chèn mã động và cấu hình lừa đảo cho thấy sự đổi mới liên tục của các tác nhân đe dọa nhằm vượt qua các biện pháp kiểm soát bảo mật và duy trì sự tồn tại dai dẳng trên các thiết bị bị nhiễm.
