Negli ultimi anni il panorama delle minacce informatiche rivolte agli utenti Android si è evoluto in modo significativo, introducendo tecniche di offuscamento sempre più sofisticate per aggirare i sistemi di difesa tradizionali e colpire anche gli utenti più accorti; a conferma di questa tendenza, nelle scorse ore i ricercatori di Zimperium hanno segnalato una nuova e insidiosa variante del malware Konfety, capace di eludere l’analisi statica e i controlli anti malware grazie a una combinazione di APK malformati, codice crittografato e strategie di inganno particolarmente raffinate.
Vediamo insieme in cosa consiste questa minaccia, come agisce e quali accorgimenti è opportuno adottare per proteggersi.
Come agisce il malware Konfety e come difendersi
Konfety si presenta agli occhi delle vittime come un’app apparentemente innocua, spesso camuffata da versione gratuita o alternativa di applicazioni realmente disponibili sul Google Play Store, ma in realtà distribuita esclusivamente tramite store di terze parti e siti non ufficiali; questa strategia, nota nel settore come gemello malvagio o gemello esca, sfrutta la tendenza di molti utenti a scaricare APK da fonti non verificate, ad esempio per evitare il monitoraggio di Google, continuare a utilizzare dispositivi Android non più supportati o accedere a versioni modificate di app premium.
Una volta installato, Konfety si attiva immediatamente per raccogliere informazioni e generare profitti illeciti, in particolare il malware è in grado di:
- reindirizzare gli utenti verso siti malevoli o pagine di phishing
- installare app indesiderate in background
- visualizzare notifiche false nel browser
- recuperare e mostrare annunci pubblicitari nascosti tramite il framework CaramelADS SDK
- raccogliere dati sensibili come l’elenco delle applicazioni installate, la configurazione di rete e le informazioni del sistema
A differenza di altre minacce più intrusive, come spyware o trojan di controllo remoto (RAT), Konfety concentra la propria attività principalmente sulla monetizzazione aggressiva e sul furto di informazioni di base, lasciando comunque aperta la possibilità di evolvere in una minaccia più pericolosa.
Uno degli aspetti più preoccupanti di Konfety risiede nella combinazione di tecniche di offuscamento avanzato, che rendono estremamente complessa l’analisi da parte dei ricercatori di sicurezza e degli strumenti automatici di scansione; tra queste i ricercatori hanno individuato alcuni metodi particolarmente ingegnosi:
- caricamento dinamico del codice -> il malware include un file DEX crittografato che viene decrittografato ed eseguito solo in fase di runtime, al suo interno si trovano servizi nascosti, dichiarati nel file AndroidManifest, che possono installare moduli aggiuntivi in un secondo momento
- manipolazione della struttura ZIP dell’APK -> Konfety imposta il general Purpose Bit Flag su bit 0, inducendo gli strumenti di analisi a credere che l’APK sia cifrato; questo stratagemma innesca richieste di password false e impedisce di accedere ai contenuti del pacchetto
- compressione BZIP -> i file critici vengono dichiarati con un metodo di compressione non supportato da strumenti di analisi come APKTool e JADX, generando errori e blocchi durate la decodifica
- geofencing -> il comportamento del malware varia in base alla regione geografica della vittima, rendendo più difficile un’analisi univoca del campione
In sostanza, Android ignora i metodi di compressione non validi e procede all’installazione, mentre i software di sicurezza vengono confusi o interrotti, consentendo a Konfety di operare indisturbato.
Va sottolineato che l’utilizzo di compressioni o dichiarazioni non valide nei file APK non è una tecnica completamente nuova, basti pensare per esempio a quanto accaduto con SoumniBot, un altro malware scoperto lo scorso anno che si basava su un approccio simile per ingannare i sistemi di scansione automatica.
Tuttavia, Konfety porta questa metodologia a un livello più sofisticato e combinato, diventando di fatto uno degli esempi più evoluti di manipolazione dell’APK a fini malevoli.
Alla luce di quanto emerso, è evidente che il primo passo per tutelarsi da Konfety e da malware analoghi resta sempre quello di evitare categoricamente l’installazione di APK da store di terze parti o da fonti non verificate; anche nel caso di app apparentemente legittime e dotate di recensioni positive, il rischio di incorrere in una versione modificata e malevola è sempre dietro l’angolo.
In linea generale, le raccomandazioni pratiche sono più o meno sempre le stesse: affidarsi esclusivamente al Play Store per il download delle proprie applicazioni o comunque a fonti ufficiali e certificate, tenere attiva la protezione Google Play Protect, verificare le autorizzazioni richieste dalle app durante l’installazione, diffidare di siti web che promettono versioni premium gratuite di app famose.
- Attenti ai malware FakeUpdates e AsyncRAT: minacce sempre più diffuse e insidiose
- Il malware Godfather torna a colpire con nuove tecniche sofisticate
- Milioni di dispositivi Android economici infettati dal malware BadBox
- Questo malware Android inserisce contatti falsi in rubrica fingendosi la vostra banca