Специалисты компании Zimperium идентифицировали усовершенствованную версию Android-малвари Konfety, которая демонстрирует значительную эволюцию в методах сокрытия вредоносной активности. Новый вариант угрозы использует комплексный подход к обфускации, включающий деформацию ZIP-структуры APK-файлов и применение нестандартных техник упаковки для обхода систем детекции.
Механизмы маскировки и распространения
Konfety продолжает использовать проверенную стратегию социальной инженерии, имитируя внешний вид легитимных приложений из Google Play Store. Киберпреступники копируют не только названия и иконки популярных программ, но и их описания, создавая убедительную видимость подлинности. При этом фальшивые приложения полностью лишены заявленной функциональности и служат исключительно для доставки вредоносного кода.
Основными векторами распространения остаются сторонние магазины приложений, где пользователи ищут «бесплатные» версии платного софта. Этот канал атаки особенно эффективен в регионах с ограниченным доступом к Google-сервисам или среди владельцев устаревших Android-устройств.
Технические инновации в обфускации
Деформация ZIP-структуры
Наиболее примечательной особенностью нового варианта Konfety является намеренное искажение структуры APK-файла. Разработчики малвари применяют два основных метода обмана инструментов анализа:
Первый подход заключается в установке значения General Purpose Bit Flag в ZIP-заголовке на «bit 0», что сигнализирует о шифровании содержимого. Однако файл остается незашифрованным, что приводит к ложным запросам пароля при попытке открытия в аналитических инструментах.
Второй метод предполагает использование алгоритма сжатия BZIP (0x000C) для критически важных файлов внутри APK. Поскольку популярные инструменты реверс-инжиниринга, такие как APKTool и JADX, не поддерживают данный формат, попытки анализа завершаются ошибками.
Динамическая загрузка вредоносного кода
Konfety скрывает основную вредоносную логику в зашифрованном DEX-файле, встроенном в структуру APK. Этот файл расшифровывается и загружается только во время выполнения, что значительно усложняет статический анализ. Подобный подход позволяет динамически расширять функциональность уже установленной малвари через загрузку дополнительных модулей.
Функциональность и поведение
После успешной установки Konfety демонстрирует сложное адаптивное поведение. Приложение немедленно скрывает свою иконку и использует технологию геофенсинга для модификации активности в зависимости от географического положения пользователя. Это позволяет избегать обнаружения в регионах с развитой кибербезопасностью.
Основной функционал малвари включает перенаправление на вредоносные веб-ресурсы, принудительную установку нежелательных приложений и генерацию фальшивых уведомлений в браузере. Дополнительно Konfety интегрирует CaramelAds SDK для показа скрытой рекламы и осуществляет сбор детальной информации об устройстве жертвы.
Исторический контекст и тенденции
Методы обфускации, применяемые в Konfety, не являются полностью оригинальными. В апреле 2024 года «Лаборатория Касперского» описала схожие техники в малвари SoumniBot, которая также использовала подделку методов сжатия и манипуляции с размерами файлов для обмана аналитических систем.
Эволюция Konfety отражает общую тенденцию в развитии мобильных угроз: киберпреступники все активнее используют продвинутые методы обфускации для противодействия современным системам защиты. Это требует от специалистов по информационной безопасности постоянного совершенствования инструментов детекции и анализа.
Для защиты от подобных угроз пользователям рекомендуется избегать установки приложений из неверифицированных источников, регулярно обновлять антивирусное программное обеспечение и внимательно анализировать запрашиваемые приложениями разрешения. Организациям следует рассмотреть внедрение решений Mobile Device Management и проведение регулярных аудитов безопасности мобильных устройств.
