一种名为Konfety的新型安卓恶意软件变种利用畸形的ZIP结构和多种混淆方法来逃避分析和检测。它伪装成合法的Google Play应用，但实际功能包括重定向到恶意网站、推送广告以及泄露用户信息。Konfety通过模仿合法应用名称和品牌，并在第三方应用商店分发来欺骗用户安装。此外，它还采用动态代码加载和特殊的APK文件处理技术，如设置错误的文件加密标志和使用不受支持的BZIP压缩，以干扰分析工具。安装后，Konfety会隐藏图标并根据地理位置改变行为，为更危险的功能预留了空间。

👾 **伪装与欺骗策略**：Konfety恶意软件冒充Google Play上的合法应用，模仿其名称和品牌，并主要通过第三方应用商店进行分发，这种“诱饵双胞胎”策略旨在诱骗用户下载并安装。用户常在第三方商店寻找免费应用或因设备不支持Google服务而选择该渠道。

🛡️ **多重混淆与逃避检测**：该恶意软件采用多种技术来规避安全分析。它在APK文件中包含一个加密的二级DEX文件，在运行时解密加载，允许动态安装额外模块。此外，它会操纵APK文件，设置错误的加密标志以干扰静态分析，并使用分析工具不支持的BZIP压缩来导致解析失败。

🎯 **隐藏的恶意功能与动态扩展**：Konfety的核心恶意行为包括将用户重定向至恶意网站、推送不必要的应用安装以及显示虚假浏览器通知。通过CaramelAds SDK，它能隐藏广告并泄露用户的安装应用列表、网络配置和系统信息等敏感数据。其动态加载代码的设计为后续植入更危险的功能提供了可能性。

📍 **安装后的隐蔽性与行为变化**：一旦安装，Konfety会隐藏其应用程序图标和名称，使其难以被用户发现。更进一步，它利用地理围栏技术，根据用户的地理位置调整其行为，增加了检测和响应的难度。这种基于地理位置的行为变化也曾在其他Android恶意软件中被观察到。

一种新的Konfety安卓恶意软件变种出现，带有畸形的ZIP结构和其他混淆方法，使其能够逃避分析和检测。

据悉，Konfety自称是一款合法的应用程序，模仿谷歌Play上的无害产品，但没有任何承诺的功能。恶意软件的功能包括将用户重定向到恶意网站，推送不需要的应用程序安装，以及虚假的浏览器通知。

相反，它使用CaramelAds SDK获取并呈现隐藏的广告，并泄露安装的应用程序、网络配置和系统信息等信息。

由Konfety触发的不良广告和重定向

虽然Konfety不是间谍软件或RAT工具，但它在APK中包含一个加密的二级DEX文件，该文件在运行时被解密和加载，包含在AndroidManifest文件中声明的隐藏服务。这为动态安装额外的模块敞开了大门，从而允许在当前感染中提供更危险的功能。

逃避策略

移动安全平台Zimperium的研究人员发现并分析了最新的Konfety变种，报告称该恶意软件使用几种方法来混淆其真实性质和活动。

Konfety通过复制谷歌Play上可用的合法应用程序的名称和品牌，并通过第三方商店分发，从而诱骗受害者安装它——Human的研究人员将这种策略称为“诱饵双胞胎”。

恶意软件的运营商正在第三方应用商店中推广它。

这些市场通常是用户寻找“免费”的高级应用版本的地方，因为他们想避免被Google跟踪，或者他们的安卓设备不再受支持，或者他们无法使用Google服务。

动态代码加载（恶意逻辑隐藏在运行时加载的加密DEX文件中）是Konfety采用的另一种有效的混淆和逃避机制。

Konfety中另一个不常见的反分析策略是以一种混淆或破坏静态分析和逆向工程工具的方式操纵APK文件。

首先，APK将通用位标志设置为“0位”，表示文件已加密，即使它没有加密。当试图检查文件时，这会触发错误的密码提示，阻止或延迟对APK内容的访问。

其次，APK中的关键文件是使用BZIP压缩（0x000C）声明的，而APKTool和JADX等分析工具不支持这种压缩，从而导致解析失败。

分析工具在试图解析恶意APK时崩溃

同时，Android忽略声明的方法，退回到默认处理以保持稳定性，允许恶意应用在设备上毫无问题地安装和运行。安装后，Konfety会隐藏其应用程序图标和名称，并使用地理围栏根据受害者所在地区改变行为。

在过去的Android恶意软件中也观察到基于压缩的混淆，正如卡巴斯基在2024年4月关于SoumniBot恶意软件的报告中所强调的那样。在这种情况下，SoumniBot在AndroidManifest.xml中声明了一个无效的压缩方法，声明了一个虚假的文件大小和数据覆盖，并用非常大的命名空间字符串混淆了分析工具。

通常建议人们避免安装第三方Android应用商店的APK文件，只信任你知道的发行商的软件。

参考及来源：https://www.bleepingcomputer.com/news/security/android-malware-konfety-uses-malformed-apks-to-evade-detection/