Дослідники безпеки з компанії Zimperium виявили нову еволюційну версію Android-малвару Konfety, яка демонструє революційний підхід до приховування шкідливої активності. Оновлений варіант загрози використовує складні методи обфускації, включаючи маніпуляції зі структурою ZIP-архівів APK-файлів та застосування незвичайних технік пакування для обходу систем виявлення.
Стратегії маскування та поширення загрози
Зловмисники продовжують використовувати перевірені методи соціальної інженерії, точно імітуючи зовнішній вигляд популярних додатків з Google Play Store. Кіберзлочинці копіюють не лише назви та іконки відомих програм, а й детально відтворюють їх описи, створюючи максимально переконливу ілюзію автентичності.
Головними каналами розповсюдження залишаються альтернативні магазини додатків, де користувачі шукають безкоштовні версії платного софту. Цей вектор атаки виявляється особливо ефективним у регіонах з обмеженим доступом до Google-сервісів або серед власників застарілих Android-пристроїв.
Технологічні прориви в методах приховування
Маніпуляції зі структурою ZIP-архівів
Найбільш інноваційною особливістю оновленого Konfety є навмисне спотворення архітектури APK-файлу. Розробники малвару застосовують два основних підходи для введення в оману аналітичних інструментів:
Перший метод полягає у встановленні значення General Purpose Bit Flag у ZIP-заголовку на “bit 0”, що вказує на шифрування вмісту. Проте файл залишається нешифрованим, що спричиняє помилкові запити пароля при спробах відкриття в аналітичних програмах.
Другий підхід передбачає використання алгоритму стиснення BZIP (0x000C) для критично важливих компонентів APK. Оскільки поширені інструменти реверс-інжинірингу, зокрема APKTool та JADX, не підтримують цей формат, спроби аналізу закінчуються системними помилками.
Динамічне завантаження шкідливого коду
Konfety приховує основну вредоносну логіку в зашифрованому DEX-файлі, інтегрованому в структуру APK. Цей компонент розшифровується та активується виключно під час виконання, що суттєво ускладнює статичний аналіз. Такий підхід дозволяє динамічно розширювати функціональність встановленого малвару через завантаження додаткових модулів.
Поведінкові характеристики та функціональність
Після успішного встановлення Konfety демонструє складну адаптивну поведінку. Додаток миттєво приховує свою іконку та використовує технологію геофенсингу для модифікації активності залежно від географічного розташування користувача. Це дозволяє уникати виявлення у регіонах з розвинутою кіберзахистом.
Основний функціонал включає перенаправлення на шкідливі веб-ресурси, примусове встановлення небажаних додатків та генерацію фальшивих сповіщень у браузері. Крім того, Konfety інтегрує CaramelAds SDK для відображення прихованої реклами та здійснює збір детальної інформації про пристрій жертви.
Історичний контекст та тенденції розвитку
Методи обфускації, застосовані в Konfety, не є повністю унікальними. У квітні 2024 року “Лабораторія Касперського” описала подібні техніки в малварі SoumniBot, яка також використовувала підробку методів стиснення та маніпуляції з розмірами файлів для обману аналітичних систем.
Еволюція Konfety відображає загальну тенденцію в розвитку мобільних загроз: кіберзлочинці все активніше застосовують прогресивні методи обфускації для протидії сучасним системам захисту. Це вимагає від фахівців з інформаційної безпеки постійного вдосконалення інструментів виявлення та аналізу.
Для захисту від подібних загроз користувачам рекомендується уникати встановлення додатків з неперевірених джерел, регулярно оновлювати антивірусне програмне забезпечення та ретельно аналізувати дозволи, що запитуються додатками. Організаціям варто розглянути впровадження рішень Mobile Device Management та проведення регулярних аудитів безпеки мобільних пристроїв.
