Ricercatori di cybersecurity hanno scoperto una nuova variante sofisticata di un noto malware Android chiamato Konfety, che sfrutta la tecnica del gemello malvagio per abilitare la frode pubblicitaria. Questo approccio subdolo coinvolge essenzialmente uno scenario in cui due varianti di un’applicazione condividono lo stesso nome di pacchetto: un’app “esca” benigna ospitata su Google Play Store e il suo gemello malvagio, distribuito tramite fonti di terze parti.
È importante sottolineare che le app esca non devono necessariamente essere pubblicate dagli stessi attori delle minacce e potrebbero essere legittime. L’unico avvertimento è che le app dannose condividono esattamente gli stessi nomi di pacchetto delle loro controparti reali già disponibili su Play Store.
“Gli attori delle minacce dietro Konfety sono altamente adattabili, alterando costantemente le loro reti pubblicitarie mirate e aggiornando i loro metodi per eludere il rilevamento,” ha dichiarato Fernando Ortega, ricercatore di Zimperium zLabs. “Questa ultima variante dimostra la loro sofisticazione manipolando specificamente la struttura ZIP dell’APK.”
Utilizzando APK malformati, la tattica consente agli attori delle minacce di aggirare il rilevamento e sfidare gli sforzi di ingegneria inversa. Oltre a caricare dinamicamente il payload principale DEX (Dalvik Executable) a runtime, le versioni appena scoperte abilitano il flag di bit generico impostandolo su “Bit 0”, segnalando al sistema che il file è crittografato.
Questo comportamento, a sua volta, attiva un falso prompt di password quando si tenta di ispezionare il pacchetto Android, bloccando così l’accesso e complicando i tentativi di analizzare i suoi contenuti. La seconda tecnica comporta la falsa dichiarazione dell’uso del metodo di compressione BZIP nel file XML del manifesto dell’app (“AndroidManifest.xml”), causando il crash di strumenti di analisi come APKTool e JADX a causa di un errore di parsing.
Una tecnica di evasione della difesa basata sulla compressione simile è stata precedentemente evidenziata da Kaspersky in un altro malware Android chiamato SoumniBot. L’uso del caricamento dinamico del codice per eseguire il payload primario offre ulteriore furtività durante le scansioni iniziali o l’ingegneria inversa, ha osservato Zimperium. Durante l’esecuzione, il payload DEX viene decrittografato e caricato direttamente in memoria senza attirare alcun allarme.
“Questo approccio di offuscamento a più livelli, che combina asset crittografati, iniezione di codice a runtime e dichiarazioni di manifesti ingannevoli, dimostra la sofisticazione in evoluzione dell’operazione Konfety e i suoi continui sforzi per eludere l’analisi e bypassare i meccanismi di rilevamento,” ha detto Ortega.
Come la precedente iterazione riportata da HUMAN l’anno scorso, Konfety abusa del kit di sviluppo software (SDK) CaramelAds per recuperare annunci, consegnare payload e mantenere la comunicazione con server controllati dagli attaccanti. Viene fornito con capacità di reindirizzare gli utenti a siti web dannosi, richiedere installazioni di app indesiderate e attivare notifiche persistenti simili a spam nel browser.
Inoltre, il malware nasconde la sua icona dell’app e utilizza il geofencing per alterare la sua funzionalità in base alla regione della vittima. Lo sviluppo arriva mentre ANY.RUN ha dettagliato un malware cinese.
Fonte: The Hackers News
