La nuova versione del malware Konfety sfrutta tecniche di evasione avanzate

Una nuova versione del malware Android chiamato Konfety è diventata ancora più sofisticata: gli specialisti di Zimperium zLabs hanno scoperto una variante migliorata che utilizza archivi ZIP non standard e codice crittografato caricato durante l’esecuzione. Queste tecniche consentono al malware di aggirare efficacemente gli strumenti di analisi automatica e di passare inosservato.

La caratteristica principale della versione aggiornata è un’ingegnosa modifica dell’archivio ZIP: il file APK ha un flag abilitato che fa sì che molti strumenti lo percepiscano erroneamente come crittografato. Alcune utility richiedono una password per decomprimerlo, mentre altre non riescono affatto ad analizzare la struttura del file.

Ulteriore confusione è causata dal metodo di compressione errato: AndroidManifest.xml dichiara di utilizzare BZIP, ma in realtà non viene eseguita alcuna compressione con questo metodo. Ciò causa una decompressione parziale o malfunzionamenti negli strumenti di analisi, complicando notevolmente il lavoro con i file infetti.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nonostante la natura non standard del file ZIP, il sistema operativo Android gestisce questi casi senza problemi e installa correttamente l’app dannosa senza visualizzare alcun avviso. Al contrario, strumenti specializzati come APKTool e JADX potrebbero richiedere una password inesistente o semplicemente visualizzare un errore. Questo consente al malware di nascondersi in app apparentemente normali.

Inoltre, la nuova versione di Konfety utilizza il caricamento dinamico di codice eseguibile crittografato durante il funzionamento. Questo non è visibile in anticipo durante la scansione APK standard. All’interno dell’applicazione dannosa è presente un file DEX secondario, crittografato e nascosto nelle risorse. Viene caricato solo dopo l’avvio dell’applicazione, sostituendo i componenti mancanti dichiarati nel manifest, aumentando così i sospetti degli analisti più attenti.

Inoltre, il malware riutilizza meccanismi già noti di attacchi precedenti. In particolare, è nuovamente coinvolto il componente CaramelAds SDK, noto per il suo schema di frode pubblicitaria. Questo consente la visualizzazione occulta di annunci pubblicitari, l’installazione di moduli aggiuntivi e la comunicazione con server remoti all’insaputa dell’utente. Gli esperti sottolineano anche la coincidenza tra espressioni regolari e una finestra pop-up relativa ad un accordo utente, tutti elementi che indicano una continuità con gli attacchi precedenti.

Per camuffarsi, Konfety imita le app reali di Google Play copiandone i nomi dei pacchetti. Tuttavia, non ha alcuna funzionalità al suo interno e l’app stessa spesso nasconde il suo nome e la sua icona. All’avvio, all’utente viene chiesto di accettare un determinato accordo, dopodiché il browser si apre e viene reindirizzato a diversi siti. L’obiettivo finale è convincere la vittima a installare app indesiderate o ad accettare notifiche fastidiose.

Il rapporto elenca i segnali di infezione, nonché le tattiche e le tecniche della classificazione MITRE utilizzate in questa campagna. La nuova versione di Konfety mostra chiaramente come tecniche apparentemente semplici di manipolazione degli ZIP e di caricamento ritardato del codice possano bypassare con successo anche i sistemi di rilevamento delle minacce più avanzati.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.