Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Fortinet 320x100px
Enterprise BusinessLog 970x120 1
La nueva versión del malware Konfety utiliza técnicas de evasión avanzadas

La nueva versión del malware Konfety utiliza técnicas de evasión avanzadas

Redazione RHC : 17 julio 2025 08:11

Una nueva versión del malware para Android llamado Konfety se ha vuelto aún más sofisticada: los especialistas de Zimperium zLabs han descubierto una variante mejorada que utiliza archivos ZIP no estándar y carga código cifrado durante su ejecución. Estas técnicas permiten que el malware eluda eficazmente las herramientas de análisis automatizadas y pase desapercibido.

La característica principal de la versión actualizada es una ingeniosa modificación del archivo ZIP: el archivo APK tiene una bandera habilitada que hace que muchas herramientas lo perciban erróneamente como cifrado. Algunas utilidades requieren una contraseña para descomprimirlo, mientras que otras no analizan la estructura del archivo.

El método de compresión incorrecto genera más confusión: AndroidManifest.xml afirma usar BZIP, pero en realidad no realiza ninguna compresión con este método. Esto provoca un desempaquetado parcial o fallos en las herramientas de análisis, lo que complica considerablemente el trabajo con los archivos infectados.

A pesar de la naturaleza no estándar del archivo ZIP, el sistema operativo Android gestiona estos casos sin problemas e instala correctamente la aplicación maliciosa sin mostrar ninguna advertencia. Por el contrario, herramientas especializadas como APKTool y JADX pueden solicitar una contraseña inexistente o simplemente mostrar un error. Esto permite que el malware se oculte en aplicaciones aparentemente normales.

Además, la nueva versión de Konfety utiliza la carga dinámica de código ejecutable cifrado durante su funcionamiento. Esto no es visible de antemano durante el análisis estándar de APK. Dentro de la aplicación maliciosa se encuentra un archivo DEX secundario, cifrado y oculto en los recursos. Este se carga solo después de iniciar la aplicación, reemplazando los componentes faltantes declarados en el manifiesto, lo que despierta sospechas entre los analistas más atentos.

Además, el malware reutiliza mecanismos ya conocidos de ataques anteriores. En particular, el componente CaramelAds SDK, conocido por su esquema de fraude publicitario, está involucrado nuevamente. Este permite la visualización oculta de anuncios, la instalación de módulos adicionales y la comunicación con servidores remotos sin el conocimiento del usuario. Los expertos también señalan la coincidencia de expresiones regulares y una ventana emergente relacionada con un acuerdo de usuario, lo que indica una continuidad con ataques anteriores.

Para camuflarse, Konfety imita las aplicaciones reales de Google Play copiando los nombres de sus paquetes. Sin embargo, no tiene ninguna funcionalidad, y la propia aplicación a menudo oculta su nombre e icono. Al iniciarse, se solicita al usuario que acepte un acuerdo específico, tras lo cual se abre el navegador y se redirige a varios sitios web. El objetivo final es convencer a la víctima de que instale aplicaciones no deseadas o acepte notificaciones molestas.

El informe enumera los indicios de infección, así como las tácticas y técnicas de clasificación MITRE empleadas en esta campaña. La nueva versión de Konfety demuestra claramente cómo la manipulación de ZIP, aparentemente sencilla, y las técnicas de carga retardada de código pueden eludir con éxito incluso los sistemas de detección de amenazas más avanzados.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...

Immagine del sito
El procesador Intel 386 cumple 40 años: comienza la era de los 32 bits
Di Redazione RHC - 20/10/2025

El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...

Immagine del sito
Intel lanza parches urgentes para la nueva variante de Spectre
Di Redazione RHC - 19/10/2025

Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...