Uma nova variante do malware para Android, chamado Konfety, surgiu com uma estrutura ZIP malformada, além de outros métodos de ofuscação que permitem que ele evite análises e detecções.
Konfety se disfarça como um app legítimo, imitando produtos inofensivos disponíveis no Google Play, mas não oferece nenhuma da funcionalidade prometida.
As capacidades do malware incluem redirecionar usuários para sites maliciosos, promover instalações indesejadas de apps e falsas notificações de navegador.
Em vez disso, ele busca e renderiza anúncios ocultos usando o SDK do CaramelAds e exfiltra informações como apps instalados, configuração de rede e informações do sistema.
Embora o Konfety não seja uma ferramenta de spyware ou RAT, ele inclui um arquivo DEX secundário criptografado dentro do APK, que é descriptografado e carregado em tempo de execução, contendo serviços ocultos declarados no arquivo AndroidManifest.
Isso deixa a porta aberta para a instalação dinâmica de módulos adicionais, permitindo assim a entrega de capacidades mais perigosas nas infecções atuais.
Pesquisadores na plataforma de segurança móvel Zimperium descobriram e analisaram a última variante do Konfety e relataram que o malware usa vários métodos para ofuscar sua verdadeira natureza e atividade.
O Konfety engana as vítimas para instalá-lo copiando o nome e a marca de apps legítimos disponíveis no Google Play e distribuindo-o por lojas de terceiros - uma tática que pesquisadores da Human chamaram de "gêmeo mau" ou "gêmeo isca".
Os operadores do malware estão promovendo-o em lojas de apps de terceiros.
Esses mercados são frequentemente onde os usuários procuram por variantes "grátis" de apps premium porque querem evitar o rastreamento do Google, possuem um dispositivo Android que não é mais suportado, ou não têm acesso aos serviços do Google.
O carregamento dinâmico de código, onde a lógica maliciosa é escondida em um arquivo DEX criptografado que carrega em tempo de execução, é outro mecanismo eficaz de ofuscação e evasão empregado pelo Konfety.
Outra estratégia anti-análise incomum no Konfety é manipular os arquivos APK de forma que confunda ou quebre ferramentas de análise estática e engenharia reversa.
Primeiro, o APK define o General Purpose Bit Flag para 'bit 0', sinalizando que o arquivo está criptografado, mesmo que não esteja.
Isso desencadeia prompts de senha falsos ao tentar inspecionar o arquivo, bloqueando ou atrasando o acesso ao conteúdo do APK.
Em segundo lugar, arquivos críticos no APK são declarados usando compressão BZIP (0x000C), que não é suportada por ferramentas de análise como APKTool e JADX, resultando em falha de parsing.
Enquanto isso, o Android ignora o método declarado e volta ao processamento padrão para manter a estabilidade, permitindo que o app malicioso seja instalado e executado no dispositivo sem problemas.
Após a instalação, o Konfety oculta seu ícone e nome do app e usa geofencing para alterar o comportamento de acordo com a região da vítima.
A ofuscação baseada em compressão já foi observada no passado em malwares para Android, conforme destacado em um relatório da Kaspersky de abril de 2024 sobre o malware SoumniBot.
Nesse caso, o SoumniBot declarou um método de compressão inválido em AndroidManifest.xml, declarou um tamanho de arquivo e sobreposição de dados falsos, e confundiu ferramentas de análise com strings de namespace muito grandes.
É geralmente recomendado evitar a instalação de arquivos APK de lojas de apps Android de terceiros e confiar somente em software de editores conhecidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...