Хакер #315. Positive Hack Days Fest 3
Эксперты обнаружили новый вариант Android-малвари Konfety с деформированной ZIP-структурой и другими методами обфускации, которые позволяют избегать анализа и обнаружения.
Konfety маскируется под легитимные приложения, копируя внешний вид безобидных продуктов из магазина Google Play, но на самом деле не обладает ни одной из заявленных функций. Зато малварь может перенаправлять пользователей на вредоносные сайты, устанавливать нежелательные приложения и показывать фальшивые уведомления в браузере.
Кроме того, приложения показывают скрытую рекламу с помощью CaramelAds SDK и собирают информацию об устройстве жертвы, включая данные об установленных приложениях и системе, а также сетевой конфигурации.
Хотя Konfety не является шпионским ПО или полноценным RAT, приложения содержат в своем APK зашифрованный вспомогательный DEX-файл. Этот файл расшифровывается и подгружается во время выполнения, а внутри него — скрытые сервисы, прописанные в AndroidManifest. Это позволяет динамически загружать дополнительные модули, то есть расширяет возможности уже установленной малвари и позволяет добавлять ей новые, более опасные функции.
Исследователи из компании Zimperium обнаружили и изучили новый вариант Konfety и сообщили, что теперь малварь использует несколько методов, чтобы скрыть свою реальную сущность и активность.
Один из способов — маскировка под легитимные приложения. Злоумышленники копируют название и оформление настоящих приложений из Google Play и распространяют вредонос через сторонние магазины приложений.
В целом разработчики Konfety активно продвигают свою малварь на сторонних площадках, где пользователи часто ищут «бесплатные» версии платных приложений. Обычно это происходит по трем причинам: желание избежать слежки со стороны Google, использование старых Android-устройств или банальное отсутствие доступа к Google-сервисам.
Еще один способ маскировки — динамическая подгрузка кода. Так, малварь скрывает вредоносную логику в зашифрованном DEX-файле и активирует ее только при запуске, что усложняет анализ.
Кроме того, Konfety использует редкий прием защиты от анализа: намеренно искажает структуру APK-файла, чтобы сбить с толку инструменты для реверс-инжиниринга и статического анализа.
Во-первых, в ZIP-заголовке APK устанавливается значение General Purpose Bit Flag на «bit 0», указывающее на шифрование, хотя на самом деле файл не зашифрован. Это приводит к ложным запросам пароля при попытке открыть файл, мешая доступу к содержимому.
Во-вторых, важные файлы внутри APK упакованы с использованием BZIP (0x000C), который не поддерживается популярными инструментами вроде APKTool или JADX. Из-за этого при попытке анализа возникают ошибки.
При этом сама ОС Android игнорирует указанный способ сжатия и использует дефолтную обработку, чтобы избежать ошибок — благодаря чему малварь устанавливается и работает на устройстве.
После установки на устройство жертвы Konfety скрывает свою иконку и название, а также использует так называемый «геофенсинг», то есть ведет себя по-разному в зависимости от региона пользователя.
Стоит отметить, что схожий метод маскировки уже встречался ранее: в апреле 2024 года «Лаборатория Касперского» рассказывала о малвари SoumniBot, которая указывала несуществующий метод сжатия в AndroidManifest.xml, подделывала размер файлов и сбивала с толку анализаторы чрезмерно длинными строками в пространствах имен.
