Pesquisadores de cibersegurança descobriram uma nova e sofisticada variante de um malware para Android conhecido como Konfety, que usa a técnica do evil twin para possibilitar fraude em publicidade.
Essa abordagem ardilosa envolve basicamente um cenário em que duas variantes de um aplicativo compartilham o mesmo nome de pacote: um app "isca" benigno hospedado na Google Play Store e seu evil twin, que é distribuído por fontes de terceiros.
É importante destacar que os aplicativos isca não precisam necessariamente ser publicados pelos próprios atores de ameaças e podem ser legítimos.
A única ressalva é que os aplicativos maliciosos compartilham exatamente os mesmos nomes de pacote que suas contrapartidas reais já disponíveis na Play Store.
"Os atores de ameaças por trás do Konfety são altamente adaptáveis, alterando constantemente suas redes de anúncios visadas e atualizando seus métodos para evitar detecção," disse o pesquisador da Zimperium zLabs, Fernando Ortega.
Esta última variante demonstra sua sofisticação ao manipular especificamente a estrutura ZIP do APK.
Ao usar APKs malformados, a tática permite que atores de ameaças evitem a detecção e desafiem esforços de engenharia reversa.
Além de carregar dinamicamente o payload principal DEX (Dalvik Executable) em tempo de execução, as versões recém-descobertas ativam o bit flag de uso geral definindo-o como "Bit 0", sinalizando para o sistema que o arquivo está criptografado.
Esse comportamento, por sua vez, aciona um prompt de senha falso ao tentar inspecionar o pacote Android, bloqueando o acesso e complicando tentativas de analisar seu conteúdo.
A segunda técnica implica em declarar falsamente o uso do método de compressão BZIP no arquivo manifest XML do aplicativo ("AndroidManifest.xml"), fazendo com que ferramentas de análise como APKTool e JADX travem devido a uma falha de parsing.
Uma técnica de evasão baseada em compressão semelhante foi anteriormente destacada pela Kaspersky em outro malware para Android chamado SoumniBot.
O uso de carregamento de código dinâmico para executar o payload principal proporciona mais discrição durante varreduras iniciais ou engenharia reversa, observou a Zimperium.
Durante a execução, o payload DEX é descriptografado e carregado diretamente na memória sem atrair atenção.
"Esta abordagem de ofuscação em múltiplas camadas, combinando ativos criptografados, injeção de código em tempo de execução e declarações manifestas enganosas, demonstra a sofisticação em evolução da operação Konfety e seus esforços contínuos para evitar análises e burlar mecanismos de detecção," disse Ortega.
Como a iteração anterior relatada pela HUMAN no ano passado, o Konfety abusa do kit de desenvolvimento de software (SDK) CaramelAds para buscar anúncios, entregar payloads e manter comunicação com servidores controlados pelos atacantes.
Ele vem com capacidades de redirecionar os usuários para sites maliciosos, solicitar instalações indesejadas de aplicativos e disparar notificações persistentes de spam no navegador.
Além disso, o malware oculta seu ícone de aplicativo e usa geofencing para alterar sua funcionalidade com base na região da vítima.
Este desenvolvimento ocorre enquanto a ANY.RUN detalhou uma ferramenta chinesa de empacotamento para Android conhecida como Ducex, projetada principalmente para ocultar payloads embutidos como o Triada dentro de falsos aplicativos do Telegram.
"O empacotador emprega obfuscação intensa através da criptografia de função usando um algoritmo RC4 modificado com embaralhamento adicional," disse a pesquisadora da ANY.RUN, Alina Markova.
Ducex cria grandes obstáculos para a depuração. Ele executa a verificação da assinatura do APK, falhando se o app for re-assinado. Também utiliza auto-debugging usando fork e ptrace para bloquear rastreamentos externos.
Além disso, o Ducex é projetado para detectar a presença de ferramentas populares de análise, como Frida, Xposed e Substrate, e, se presentes, terminar a si mesmo.
As descobertas seguem também um novo estudo publicado por uma equipe de pesquisadores da TU Wien e da Universidade de Bayreuth sobre uma técnica inovadora chamada TapTrap, que pode ser armada por um app malicioso para burlar secretamente o sistema de permissões do Android e ganhar acesso a dados sensíveis ou executar ações destrutivas.
O ataque, em essência, sequestra interações do usuário em dispositivos Android sobrepondo animações ou jogos na tela do usuário, enquanto lança secretamente elementos da interface do usuário por baixo que enganam os usuários a realizar ações indesejáveis, como instalar malware ou conceder ao app permissões intrusivas.
"Normalmente, o Android mostra uma animação quando a tela muda, como a nova tela deslizando ou desaparecendo," disseram os pesquisadores Philipp Beer, Marco Squarcina, Sebastian Roth e Martina Lindorfer.
No entanto, o app pode dizer ao sistema para usar uma animação personalizada em vez disso, que é de longa duração e torna a nova tela totalmente transparente, mantendo-a escondida de você.
Qualquer toque que você faça durante essa animação vai para a tela oculta, não para o aplicativo visível.
O app pode então usar isso para atrair você a tocar em áreas específicas da tela que correspondem a ações sensíveis na tela oculta, permitindo que ele execute ações sem o seu conhecimento.
Em um cenário de ataque hipotético, um jogo lançado por um ator de ameaças instalado pela vítima pode secretamente abrir uma sessão de navegador da web e enganá-los para conceder permissões de câmera a um site malicioso.
Dito isso, o impacto do TapTrap se estende além do ecossistema Android, abrindo portas para ataques de tapjacking e clickjacking na web.
A questão foi resolvida no GrapheneOS, Chrome 135 (
CVE-2025-3067
) e Firefox 136 (
CVE-2025-1939
).
O Android 16 continua susceptível ao ataque.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...