Новата варијанта на малициозниот софтвер за Android, Konfety ги загрижи експертите за сајбер безбедност поради неговите софистицирани методи на криење и заобиколување на заштитата.
Konfety се претставува како безопасна апликација, но не нуди ниту една од очекуваните функции. Наместо тоа, ги пренасочува корисниците кон злонамерни веб-страници, инсталира несакани апликации, прикажува лажни известувања од прелистувачот, прикажува скриени реклами преку CaramelAds SDK и краде податоци за уредот, како што се инсталирани апликации, системски поставки и информации за мрежата.
Konfety првпат беше забележан пред една година кога истражувачите од HUMAN Security открија масовна измама со реклами што користела стотици апликации од Google Play Store како мамка.
Иако не е класичен шпионски или тројански софтвер за далечинско управување, Konfety содржи секундарна, шифрирана DEX-датотека во својот APK пакет. Таа се дешифрира за време на стартувањето на апликацијата и содржи скриени услуги наведени во датотеката AndroidManifest, што им овозможува на напаѓачите подоцна да вметнат дополнителни злонамерни модули.
Истражувачите од Zimperium открија дека малициозниот софтвер користи повеќе слоеви на замаглување на кодот за да избегне анализа. Една клучна тактика е таканаречениот пристап „evil twin“ – копирање на името и изгледот на легитимни апликации од Google Play, додека го дистрибуира малициозниот софтвер преку алтернативни продавници за апликации. Овие платформи често привлекуваат корисници кои бараат бесплатни верзии на комерцијални апликации или немаат пристап до услугите на Google.
Konfety дополнително ја комплицира анализата со користење на динамичко вчитување на код, каде што малициозниот код се активира само за време на работата на апликацијата. Исто така, манипулира со ZIP структурата на APK датотеката, прилагодувајќи ги параметрите за лажно да покажат дека датотеката е криптирана, активирајќи барања за лозинка и отежнувајќи ја анализата. Исто така, користи BZIP компресија, која многу алатки (како што се APKTool или JADX) не ја поддржуваат, што доведува до грешки во обработката.
По инсталацијата, Konfety ја отстранува својата икона и име од листата на апликации и користи географско ограничување, прилагодувајќи го своето однесување на локацијата на корисникот. Техниките за криење потсетуваат на малициозен софтвер претходно откриен од Kaspersky – SoumniBot.
Експертите ги советуваат корисниците да не преземаат APK датотеки од непроверени извори и да избегнуваат таканаречено странично вчитување, освен ако не е апсолутно неопходно. Konfety покажува колку е ранлив екосистемот на Android кога корисниците одат надвор од границите на официјалната продавница.