HackerNews 编译,转载请注明出处:
安卓恶意软件Konfety的新变种近期出现,其通过构造畸形的ZIP文件结构及其他混淆技术逃避分析与检测。
Konfety伪装成合法应用,模仿Google Play上的无害产品,但完全不提供宣称的功能。该恶意软件的功能包括:将用户重定向至恶意网站、强制安装不需要的应用以及推送虚假浏览器通知。
其核心行为是通过CaramelAds SDK获取并展示隐藏广告,同时窃取设备信息(如已安装应用列表、网络配置及系统信息)。
尽管Konfety不属于间谍软件或远程访问工具(RAT),但其APK内包含加密的次级DEX文件。该文件在运行时解密并加载,内含AndroidManifest文件中声明的隐藏服务。这种机制为动态安装附加模块留下后门,使当前感染设备可能被植入更危险的恶意功能。
规避技术分析
移动安全平台Zimperium的研究人员发现并分析了最新Konfety变种,确认其采用多重技术混淆真实行为:
- “邪恶双胞胎”分发策略:复制Google Play正版应用的名称与标识,通过第三方应用商店分发。该策略被Human公司研究人员命名为“诱饵双胞胎”。动态代码加载:恶意逻辑隐藏在加密的DEX文件中,仅在运行时加载,使常规扫描无法检测。APK文件结构操控
- 虚假加密标志:将通用标志位(General Purpose Bit Flag)的00位设为“1”,误导分析工具识别为加密文件并索要密码(实际未加密),阻碍APK内容访问。声明非常规压缩格式:关键文件声明采用BZIP压缩算法(0x000C),导致APKTool、JADX等工具因不支持此格式而解析失败。
注:Android系统会忽略这些异常声明,自动启用默认处理机制确保安装运行。
- 隐蔽执行:安装后隐藏应用图标与名称,并利用地理围栏技术根据受害者区域动态调整行为。
历史关联技术
压缩混淆技术在安卓恶意软件中早有先例。2024年4月卡巴斯基报告的SoumniBot恶意软件即采用类似手法:在AndroidManifest.xml声明无效压缩方法、伪造文件大小和数据覆盖,并通过超长命名空间字符串干扰分析工具。
防护建议
用户应避免从第三方安卓应用商店安装APK文件,仅信任已知开发者的软件。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
