Sicherheitsexperten von Zimperium haben eine fortschrittliche Variante der Android-Malware Konfety identifiziert, die durch innovative Verschleierungstechniken neue Maßstäbe in der mobilen Bedrohungslandschaft setzt. Die Schadsoftware nutzt komplexe Obfuskationsmethoden, darunter die gezielte Manipulation von ZIP-Strukturen in APK-Dateien und unkonventionelle Packing-Techniken, um Sicherheitssysteme zu umgehen.
Perfide Maskierung durch Social Engineering
Die Konfety-Malware setzt weiterhin auf bewährte Social-Engineering-Strategien, indem sie legitime Anwendungen aus dem Google Play Store täuschend echt imitiert. Cyberkriminelle kopieren nicht nur Namen und Icons populärer Apps, sondern auch deren komplette Beschreibungen, um eine überzeugende Authentizität zu schaffen. Die gefälschten Anwendungen verfügen jedoch über keinerlei beworbene Funktionalität und dienen ausschließlich als Transportmittel für Schadcode.
Die Verbreitung erfolgt primär über alternative App-Stores, wo Nutzer nach kostenlosen Versionen kostenpflichtiger Software suchen. Diese Angriffsmethode zeigt besonders in Regionen mit eingeschränktem Zugang zu Google-Diensten oder bei Besitzern veralteter Android-Geräte hohe Erfolgsraten.
Revolutionäre Obfuskationstechniken
Manipulation der ZIP-Archivstruktur
Die bemerkenswerteste Neuerung der aktuellen Konfety-Variante liegt in der gezielten Verzerrung der APK-Dateistruktur. Die Malware-Entwickler wenden zwei hauptsächliche Täuschungsmethoden an, um Analysewerkzeuge zu verwirren:
Der erste Ansatz manipuliert das General Purpose Bit Flag im ZIP-Header auf „bit 0“, was eine Verschlüsselung des Inhalts signalisiert. Obwohl die Datei unverschlüsselt bleibt, führt dies zu falschen Passwort-Anfragen in Analyse-Tools und verhindert effektive Untersuchungen.
Die zweite Methode verwendet den BZIP-Kompressionsalgorithmus (0x000C) für kritische Dateien innerhalb der APK-Struktur. Da gängige Reverse-Engineering-Tools wie APKTool und JADX dieses Format nicht unterstützen, scheitern Analyseversuche mit Fehlermeldungen.
Dynamische Schadcode-Ausführung
Konfety verbirgt die zentrale Malware-Logik in einer verschlüsselten DEX-Datei, die in die APK-Struktur eingebettet ist. Diese wird erst zur Laufzeit entschlüsselt und geladen, was statische Analysen erheblich erschwert. Dieser Ansatz ermöglicht zudem die dynamische Erweiterung bereits installierter Malware durch nachgeladene Module.
Adaptive Verhaltensweisen und Funktionalität
Nach erfolgreicher Installation zeigt Konfety komplexe adaptive Verhaltensweisen. Die Anwendung versteckt sofort ihr Icon und nutzt Geofencing-Technologie, um ihre Aktivitäten je nach geografischem Standort des Nutzers anzupassen. Dies ermöglicht es, Entdeckungen in Regionen mit fortgeschrittener Cybersicherheitsinfrastruktur zu vermeiden.
Die Kernfunktionalität umfasst Weiterleitungen zu schädlichen Webressourcen, forcierte Installation unerwünschter Anwendungen und die Generierung gefälschter Browser-Benachrichtigungen. Zusätzlich integriert Konfety das CaramelAds SDK für versteckte Werbeanzeigen und sammelt detaillierte Geräteinformationen der Opfer.
Branchenweite Entwicklungstrends
Die von Konfety eingesetzten Verschleierungsmethoden sind nicht vollständig neuartig. Bereits im April 2024 beschrieb Kaspersky Lab ähnliche Techniken in der SoumniBot-Malware, die ebenfalls gefälschte Kompressionsmethoden und Dateigrößen-Manipulationen zur Täuschung von Analysesystemen nutzte.
Die Evolution von Konfety spiegelt einen allgemeinen Trend in der mobilen Bedrohungslandschaft wider: Cyberkriminelle setzen zunehmend auf fortgeschrittene Obfuskationsmethoden, um moderne Schutzsysteme zu überwinden. Dies erfordert von Sicherheitsexperten kontinuierliche Weiterentwicklung ihrer Erkennungs- und Analysewerkzeuge.
Zum Schutz vor derartigen Bedrohungen sollten Nutzer ausschließlich Apps aus verifizierten Quellen installieren, Antiviren-Software regelmäßig aktualisieren und App-Berechtigungen kritisch prüfen. Unternehmen wird die Implementierung von Mobile Device Management-Lösungen und regelmäßige Sicherheitsaudits mobiler Geräte empfohlen, um ihre digitale Infrastruktur zu schützen.
