Вредоносное ПО Konfety для Android маскируется под легальные приложения и использует поддельные APK для обхода защиты

Вредоносное ПО Konfety для Android маскируется под легальные приложения и использует поддельные APK для обхода защиты

Изображение: Gilles Lambert (unsplash)

Эксперты по мобильной безопасности из компании Zimperium выявили новый вариант Android-вредоносного ПО Konfety, использующий искажённую структуру APK-файлов, обфускацию и зашифрованный исполняемый код для обхода анализа и систем обнаружения. Программа активно продвигается через сторонние магазины, выдавая себя за популярные приложения из Google Play.

В отличие от классических троянов и инструментов удалённого доступа, Konfety ориентирован не на кражу данных, а на агрессивную монетизацию и возможную загрузку дополнительных модулей. Он перенаправляет пользователей на вредоносные сайты, инициирует установку нежелательных приложений и отображает поддельные уведомления в браузере. Для показа скрытой рекламы Konfety использует CaramelAds SDK, одновременно собирая технические сведения об устройстве, списки установленных приложений и параметры сетевых подключений.

Одной из наиболее опасных функций Konfety является встроенный в APK зашифрованный файл DEX, содержащий вторичные исполняемые компоненты. Во время выполнения файл расшифровывается и подгружается в оперативную память. В нём содержатся службы, скрытые в AndroidManifest, что позволяет динамически разворачивать новые возможности без необходимости повторной установки.

Особое внимание специалистов привлекли методы противодействия статическому анализу:

  • APK-файл устанавливает флаг общего назначения (bit 0), указывая, что архив якобы зашифрован. Это приводит к появлению ложных запросов пароля при попытке открытия стандартными инструментами;
  • используется нестандартный метод сжатия BZIP (0x000C), который не поддерживается популярными инструментами анализа, такими как JADX и APKTool, вызывая сбои при распаковке.

Несмотря на эти манипуляции, Android-интерпретатор проигнорирует некорректные метки и установит приложение без препятствий.

После установки вредонос скрывает иконку, а также адаптирует поведение в зависимости от региона пользователя с помощью механизма геозонирования. Такая техника позволяет менять агрессивность и функциональность в зависимости от юрисдикции или географии устройства.

Распространение происходит через так называемую тактику «злого двойника» (по классификации исследователей Human) — подмена популярных приложений их вредоносными аналогами с идентичными названиями и иконками. Конечная цель — убедить пользователя в легитимности программы и заставить установить APK-файл в обход Google Play. Чаще всего этим злоупотребляют пользователи старых устройств, не имеющих доступа к официальным сервисам, либо ищущие «бесплатные» версии платных приложений.

Исследователи подчёркивают, что Konfety представляет собой продолжение эволюции Android-вредоносного ПО. Подобные методы скрытия уже применялись ранее — например, в трояне SoumniBot, описанном «Лабораторией Касперского» весной 2024 года.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: