Konfety 移动恶意软件

网络安全研究人员发现了臭名昭著的安卓恶意软件 Konfety 的高级变种，该变种目前利用“邪恶双胞胎”技术进行大规模广告欺诈。这种方法凸显了针对移动生态系统的威胁日益复杂化。

邪恶双胞胎策略解析

新观察到的方法涉及创建两个共享相同软件包名称的应用程序版本。一个版本是合法的良性应用，通常在 Google Play 商店中提供；而其恶意版本，即“邪恶双胞胎”，则通过第三方来源分发。值得注意的是，诱饵应用不必来自攻击者本身；在许多情况下，它实际上是 Play 商店中已有的真实应用。唯一的要求是恶意版本使用相同的软件包名称，这有助于掩盖其存在。

适应性和先进技术

Konfety 背后的攻击者展现出非凡的适应能力，他们频繁修改目标广告网络，并改进技术以规避检测。最新版本的变种更进一步，篡改了 APK 的 ZIP 结构。通过使用格式错误的 APK，攻击者可以绕过安全检查，并使逆向工程工作变得更加复杂。他们会在运行时动态加载主要的 Dalvik 可执行文件 (DEX) 有效载荷，同时启用特定的 ZIP 标志，使系统误以为文件已加密。这会在检查过程中创建错误的密码提示，从而有效阻止分析人员访问文件内容。

压缩技巧和分析中断

在另一层混淆中，Konfety 错误地声称在 AndroidManifest.xml 文件中使用了 BZIP 压缩方法。这种虚假陈述可能会导致解析失败，导致某些分析工具崩溃，并阻碍取证工作。此前，在 SoumniBot 恶意软件中也观察到了类似的基于压缩的规避方法，这表明这是 Android 恶意软件开发中一种新兴趋势的一部分。

通过动态代码加载实现隐身

动态代码加载在 Konfety 的隐身过程中起着关键作用。该恶意软件在执行过程中会将其 DEX 有效载荷解密并直接加载到内存中，从而避开了应用程序安装或静态分析期间通常进行的安全检查。结合加密资产和误导性清单条目，这种分层混淆策略使 Konfety 具有极强的抵御检测和逆向工程的能力。

恶意功能和地理围栏

与早期版本一样，Konfety 集成了 CaramelAds SDK 来获取广告、投放额外负载并与攻击者控制的服务器保持通信。除了广告欺诈之外，它还能够将用户重定向到恶意网站、启动不必要的应用安装，并持续推送类似垃圾邮件的浏览器通知。为了进一步提升隐蔽性，Konfety 隐藏了其应用图标，并采用地理围栏策略根据受害者的地理位置调整其行为。

概括

Konfety 的演变反映了移动恶意软件复杂程度的明显提升。它结合了高级 APK 篡改、动态代码注入和欺骗性配置，表明威胁行为者不断创新，旨在绕过安全控制并在受感染设备上保持持久性。