17/07/25
Новая версия Android-вредоноса под названием Konfety стала ещё изощрённее: специалисты из Zimperium zLabs обнаружили усовершенствованный вариант, использующий нестандартные ZIP-архивы и зашифрованный код, подгружаемый во время выполнения. Эти приёмы позволяют вредоносу эффективно обходить автоматические средства анализа и оставаться незамеченным, пишет Securitylab.
Главной особенностью обновлённой версии стала хитрая модификация ZIP-архива: в APK-файле включён флаг, который заставляет многие инструменты ошибочно воспринимать его как зашифрованный. Некоторые утилиты требуют пароль для распаковки, другие — вообще не могут разобрать структуру файла.
Дополнительную путаницу вызывает указание несоответствующего метода сжатия: AndroidManifest.xml утверждает, что используется BZIP, но на деле никакого сжатия этим способом не происходит. Это приводит к частичной распаковке или сбоям в инструментах анализа, что серьёзно усложняет работу с заражёнными файлами.
Несмотря на нестандартность ZIP-файла, операционная система Android обрабатывает такие случаи без сбоев и успешно устанавливает вредоносное приложение, не выдавая никаких предупреждений. Тем временем, специализированные инструменты — такие как APKTool и JADX — могут либо выдать запрос на несуществующий пароль, либо попросту завершить работу с ошибкой. Это позволяет вредоносу скрываться в обычных на вид приложениях.
Кроме того, новая версия Konfety применяет динамическую подгрузку зашифрованного исполняемого кода во время работы. Заранее он не виден при стандартной проверке APK. Внутри вредоносного приложения присутствует вторичный файл формата DEX, зашифрованный и спрятанный в ресурсах. Он загружается только после запуска приложения, подменяя собой отсутствующие компоненты, заявленные в манифесте, и тем самым усиливая подозрения у внимательных аналитиков.
Вредонос повторно механизмы, знакомые по предыдущим атакам. В частности, снова задействован компонент CaramelAds SDK, известный по схеме рекламного мошенничества. Это позволяет скрытно демонстрировать рекламу, устанавливать дополнительные модули и вести связь с удалёнными серверами без ведома пользователя. Также специалисты указывают на совпадение регулярных выражений и всплывающее окно с пользовательским соглашением — всё это указывает на преемственность с более ранними атаками.
Konfety копирует названия пакетов приложений из Google Play. Однако внутри — никакой функциональности, а само приложение зачастую скрывает своё имя и иконку. При запуске пользователя просят принять некое соглашение, после чего открывается браузер и происходит перенаправление через ряд сайтов. Конечная цель — склонить жертву к установке нежелательных приложений или разрешению назойливых уведомлений.
