Konfety 行動惡意軟體

網路安全研究人員發現了臭名昭著的安卓惡意軟體 Konfety 的高級變種，該變種目前利用「邪惡雙胞胎」技術進行大規模廣告詐欺。這種方法凸顯了針對行動生態系統的威脅日益複雜。

邪惡雙胞胎策略解析

新觀察到的方法涉及創建兩個共享相同軟體包名稱的應用程式版本。一個版本是合法的良性應用，通常在 Google Play 商店中提供；而其惡意版本，即“邪惡雙胞胎”，則透過第三方來源分發。值得注意的是，誘餌應用程式不必來自攻擊者本身；在許多情況下，它實際上是 Play 商店中已有的真實應用程式。唯一的要求是惡意版本使用相同的軟體包名稱，這有助於掩蓋其存在。

適應性和先進技術

Konfety 背後的攻擊者展現出非凡的適應能力，他們經常修改目標廣告網絡，並改進技術以規避偵測。最新版本的變體更進一步，竄改了 APK 的 ZIP 結構。透過使用格式錯誤的 APK，攻擊者可以繞過安全檢查，並使逆向工程工作變得更加複雜。他們會在運行時動態載入主要的 Dalvik 執行檔 (DEX) 有效載荷，同時啟用特定的 ZIP 標誌，使系統誤以為檔案已加密。這會在檢查過程中建立錯誤的密碼提示，從而有效阻止分析人員存取文件內容。

壓縮技巧和分析中斷

在另一層混淆中，Konfety 錯誤地聲稱在 AndroidManifest.xml 檔案中使用了 BZIP 壓縮方法。這種虛假陳述可能會導致解析失敗，導致某些分析工具崩潰，並阻礙取證工作。先前，在 SoumniBot 惡意軟體中也觀察到了類似的基於壓縮的規避方法，這表明這是 Android 惡意軟體開發中一種新興趨勢的一部分。

透過動態程式碼載入實現隱身

動態程式碼載入在 Konfety 的隱身過程中起著關鍵作用。該惡意軟體在執行過程中會將其 DEX 有效載荷解密並直接載入到記憶體中，從而避開了應用程式安裝或靜態分析過程中常見的安全性檢查。結合加密資產和誤導性清單條目，這種分層混淆策略使 Konfety 具有極強的抵禦偵測和逆向工程的能力。

惡意功能和地理圍欄

與早期版本一樣，Konfety 整合了 CaramelAds SDK 來獲取廣告、投放額外負載並與攻擊者控制的伺服器保持通訊。除了廣告詐騙之外，它還能夠將用戶重新導向到惡意網站、啟動不必要的應用程式安裝，並持續推送類似垃圾郵件的瀏覽器通知。為了進一步提升隱蔽性，Konfety 隱藏了其應用圖標，並採用地理圍欄策略根據受害者的地理位置調整其行為。

概括

Konfety 的演進反映了行動惡意軟體複雜程度的明顯提升。它結合了高級 APK 篡改、動態程式碼注入和欺騙性配置，表明威脅行為者不斷創新，旨在繞過安全控制並在受感染設備上保持持久性。