Konfety взломал Google Play изнутри: миллионы Android-устройств заражены невидимым вирусом
NewsMakerЕё нельзя проанализировать, но установить можно за считанные секунды.
Новая версия Android-вредоноса под названием Konfety стала ещё изощрённее: специалисты из Zimperium zLabs обнаружили усовершенствованный вариант, использующий нестандартные ZIP-архивы и зашифрованный код, подгружаемый во время выполнения. Эти приёмы позволяют вредоносу эффективно обходить автоматические средства анализа и оставаться незамеченным.
Главной особенностью обновлённой версии стала хитрая модификация ZIP-архива: в APK-файле включён флаг, который заставляет многие инструменты ошибочно воспринимать его как зашифрованный. Некоторые утилиты требуют пароль для распаковки, другие — вообще не могут разобрать структуру файла.
Дополнительную путаницу вызывает указание несоответствующего метода сжатия: AndroidManifest.xml утверждает, что используется BZIP, но на деле никакого сжатия этим способом не происходит. Это приводит к частичной распаковке или сбоям в инструментах анализа, что серьёзно усложняет работу с заражёнными файлами.
Несмотря на нестандартность ZIP-файла, операционная система Android обрабатывает такие случаи без сбоев и успешно устанавливает вредоносное приложение, не выдавая никаких предупреждений. Тем временем, специализированные инструменты — такие как APKTool и JADX — могут либо выдать запрос на несуществующий пароль, либо попросту завершить работу с ошибкой. Это позволяет вредоносу скрываться в обычных на вид приложениях.
Кроме того, новая версия Konfety применяет динамическую подгрузку зашифрованного исполняемого кода во время работы. Заранее он не виден при стандартной проверке APK. Внутри вредоносного приложения присутствует вторичный файл формата DEX, зашифрованный и спрятанный в ресурсах. Он загружается только после запуска приложения, подменяя собой отсутствующие компоненты, заявленные в манифесте, и тем самым усиливая подозрения у внимательных аналитиков.
Помимо этого, вредоносное ПО повторно использует механизмы, знакомые по предыдущим атакам. В частности, снова задействован компонент CaramelAds SDK, известный по схеме рекламного мошенничества. Это позволяет скрытно демонстрировать рекламу, устанавливать дополнительные модули и вести связь с удалёнными серверами без ведома пользователя. Также специалисты указывают на совпадение регулярных выражений и всплывающее окно с пользовательским соглашением — всё это указывает на преемственность с более ранними атаками.
Для маскировки Konfety имитирует настоящие приложения из Google Play, копируя их названия пакетов. Однако внутри — никакой функциональности, а само приложение зачастую скрывает своё имя и иконку. При запуске пользователя просят принять некое соглашение, после чего открывается браузер и происходит перенаправление через ряд сайтов. Конечная цель — склонить жертву к установке нежелательных приложений или разрешению назойливых уведомлений.
В отчёте приведены признаки заражения, а также тактики и техники из классификации MITRE, используемые в данной кампании. Новая версия Konfety наглядно показывает, как простые на первый взгляд приёмы ZIP-манипуляций и отложенной загрузки кода могут успешно обойти даже продвинутые системы обнаружения угроз.
Новая версия Android-вредоноса под названием Konfety стала ещё изощрённее: специалисты из Zimperium zLabs обнаружили усовершенствованный вариант, использующий нестандартные ZIP-архивы и зашифрованный код, подгружаемый во время выполнения. Эти приёмы позволяют вредоносу эффективно обходить автоматические средства анализа и оставаться незамеченным.
Главной особенностью обновлённой версии стала хитрая модификация ZIP-архива: в APK-файле включён флаг, который заставляет многие инструменты ошибочно воспринимать его как зашифрованный. Некоторые утилиты требуют пароль для распаковки, другие — вообще не могут разобрать структуру файла.
Дополнительную путаницу вызывает указание несоответствующего метода сжатия: AndroidManifest.xml утверждает, что используется BZIP, но на деле никакого сжатия этим способом не происходит. Это приводит к частичной распаковке или сбоям в инструментах анализа, что серьёзно усложняет работу с заражёнными файлами.
Несмотря на нестандартность ZIP-файла, операционная система Android обрабатывает такие случаи без сбоев и успешно устанавливает вредоносное приложение, не выдавая никаких предупреждений. Тем временем, специализированные инструменты — такие как APKTool и JADX — могут либо выдать запрос на несуществующий пароль, либо попросту завершить работу с ошибкой. Это позволяет вредоносу скрываться в обычных на вид приложениях.
Кроме того, новая версия Konfety применяет динамическую подгрузку зашифрованного исполняемого кода во время работы. Заранее он не виден при стандартной проверке APK. Внутри вредоносного приложения присутствует вторичный файл формата DEX, зашифрованный и спрятанный в ресурсах. Он загружается только после запуска приложения, подменяя собой отсутствующие компоненты, заявленные в манифесте, и тем самым усиливая подозрения у внимательных аналитиков.
Помимо этого, вредоносное ПО повторно использует механизмы, знакомые по предыдущим атакам. В частности, снова задействован компонент CaramelAds SDK, известный по схеме рекламного мошенничества. Это позволяет скрытно демонстрировать рекламу, устанавливать дополнительные модули и вести связь с удалёнными серверами без ведома пользователя. Также специалисты указывают на совпадение регулярных выражений и всплывающее окно с пользовательским соглашением — всё это указывает на преемственность с более ранними атаками.
Для маскировки Konfety имитирует настоящие приложения из Google Play, копируя их названия пакетов. Однако внутри — никакой функциональности, а само приложение зачастую скрывает своё имя и иконку. При запуске пользователя просят принять некое соглашение, после чего открывается браузер и происходит перенаправление через ряд сайтов. Конечная цель — склонить жертву к установке нежелательных приложений или разрешению назойливых уведомлений.
В отчёте приведены признаки заражения, а также тактики и техники из классификации MITRE, используемые в данной кампании. Новая версия Konfety наглядно показывает, как простые на первый взгляд приёмы ZIP-манипуляций и отложенной загрузки кода могут успешно обойти даже продвинутые системы обнаружения угроз.