- Zlabs vê uma nova versão do malware Konfety Android
- Esta versão usa APKs distorcidos para evitar ser detectado e analisado
- Ele também usa a tática “gêmea maligna” para permanecer escondida à vista
Aparentemente, o infame malware do Konfety Android foi atualizado, com novas versões escondidas à vista da estrutura APK adulterada, alertaram os especialistas.
Os pesquisadores de segurança Zlabs descobriram que novas variantes da Konfety estavam adotando técnicas “cada vez mais avançadas” para evitar a detecção e dificultar os esforços de engenharia reversa.
Nos arquivos ZIP (nos quais os APKs são baseados), cada arquivo inclui o chamado sinalizador de bits de uso geral, um campo de dois bytes que armazena metadados sobre como o arquivo deve ser tratado (0 ou 1). Um dos bits no sinalizador indica se o arquivo é criptografado ou não.
Gêmeos malignos e engano
No caso de Konfety, os invasores definiram intencionalmente o bit 0 a 1, mesmo que o arquivo não tenha sido realmente criptografado, fazendo com que as ferramentas de descompressão interpretem mal os arquivos, as ferramentas de análise para travar pensando que eram ilegíveis ou corrompidas e os engenheiros reversos para desperdiçar tempo solucionando problemas.
Mas isso não é tudo. Cada entrada de arquivo em um arquivo zip também inclui um identificador de método de compressão (0x000 sem compactação, 0x000C para um padrão de compressão incomum, etc.)
Com Konfety, os atacantes conseguiram declarar arquivos compactados usando 0x000C, o que não foi realmente o caso. Como os arquivos não podem descomprimir corretamente, isso leva a extração parcial, análise de análise ou até falhas, o que complica a engenharia reversa e a análise.
Existem outras maneiras pelas quais Konfety tenta esconder e manter a persistência. A Zlabs disse que os atacantes também estão usando o chamado “engano de duplo aplicativo”, no qual há um aplicativo legítimo nas principais lojas de aplicativos e um malicioso em outros lugares.
O aplicativo também esconde seu ícone quando instalado e aplica geofencing para garantir que certos analistas e pesquisadores não possam chegar a ele.
O KonFety funciona usando o Caramelads SDK para buscar anúncios, entregar cargas e manter a comunicação com servidores controlados por atacantes. Ele redireciona os usuários para sites maliciosos, solicita instalações de aplicativos indesejados e desencadeia notificações persistentes de navegador do tipo spam.
“Os atores de ameaças por trás da Konfety são altamente adaptáveis, alterando consistentemente suas redes de anúncios direcionadas e atualizando seus métodos para fugir da detecção”, alertaram os pesquisadores.
“Esta variante mais recente demonstra sua sofisticação especificamente adulterando a estrutura postal do APK. Essa tática foi projetada para ignorar as verificações de segurança e complicar significativamente os esforços de engenharia reversa, tornando a detecção e análise mais desafiador para os profissionais de segurança”.
Via BleepingComputer