Konfety: Malver-kameleon koji krade podatke i zaobilazi Android zaštitu
Nova varijanta Android malvera Konfety zabrinula je stručnjake za sajber bezbijednost zbog sofisticiranih metoda skrivanja i zaobilaženja zaštite. Konfety se… The post Konfety: Malver-kameleon koji krade podatke i zaobilazi Android zaštitu appeared first on IT mixer.
Nova varijanta Android malvera Konfety zabrinula je stručnjake za sajber bezbijednost zbog sofisticiranih metoda skrivanja i zaobilaženja zaštite.
Konfety se predstavlja kao bezopasna aplikacija, ali ne pruža nijednu od očekivanih funkcija.
Umjesto toga, korisnika preusmjerava na maliciozne sajtove, instalira neželjene aplikacije, prikazuje lažna obavještenja pregledača, prikazuje skrivene reklame putem CaramelAds SDK-a i krade podatke o uređaju kao što su instalirane aplikacije, sistemska podešavanja i informacije o mreži.
Konfety je prvi put primjećen pre godinu dana kada su istraživači iz kompanije HUMAN Security otkrili masovnu prevaru sa oglasima, u kojoj su kao mamci korišćene stotine aplikacija u Google Play prodavnici.
Iako ne spada u klasične špijunske alate ili trojance za daljinsku kontrolu, Konfety u svom APK paketu sadrži sekundarni, šifrovani DEX fajl.
On se dešifruje tokom pokretanja aplikacije i sadrži sakrivene servise navedene u AndroidManifest fajlu, što omogućava napadačima da naknadno ubace dodatne maliciozne module.
Istraživači iz kompanije Zimperium su otkrili da malver koristi više nivoa zamagljivanja koda kako bi izbjegao analizu.
Jedna od ključnih taktika je tzv. “evil twin” pristup – kopiranje naziva i izgleda legitimnih aplikacija sa Google Playa, iako se malver distribuira preko alternativnih prodavnica aplikacija.
Te platforme često privlače korisnike koji traže besplatne verzije komercijalnih aplikacija ili nemaju pristup Google servisima.
Konfety dodatno komplikuje analizu korišćenjem dinamičkog učitavanja koda, pri čemu se zlonamerni kod aktivira samo tokom rada aplikacije.
Takođe manipuliše ZIP strukturom APK fajla, podešavajući parametre tako da lažno signaliziraju da je fajl kriptovan, pokrećući zahteve za lozinkom i otežavajući analizu.
Uz to koristi BZIP kompresiju, koju mnogi alati (poput APKTool ili JADX) ne podržavaju, što dovodi do grešaka prilikom obrade.
Nakon instalacije, Konfety uklanja svoju ikonu i naziv iz liste aplikacija i koristi geofencing, prilagođavajući ponašanje lokaciji korisnika.
Tehnike skrivanja podsećaju na malver koji je ranije otkrio Kaspersky – SoumniBot.
Stručnjaci savjetuju korisnicima da ne preuzimaju APK fajlove iz neprovjerenih izvora i da izbjegavaju tzv. sideloading, osim ako to nije apsolutno neophodno.
Konfety pokazuje koliko je Android ekosistem ranjiv kada korisnici izađu izvan granica zvanične prodavnice.
The post Konfety: Malver-kameleon koji krade podatke i zaobilazi Android zaštitu appeared first on IT mixer.
Koja je vaša reakcija?
