一种名为 Konfety 的 Android 恶意软件新变种近日被发现,其利用格式错误的 ZIP 结构和其他混淆手段绕过分析与检测机制。
Konfety 通常伪装成合法应用,模仿 Google Play 上常见的无害产品,但实际上并不具备所宣传的功能。
该恶意软件的功能包括:将用户重定向到恶意网站、推送不受欢迎的应用安装、伪造浏览器通知等。实际上,它使用 CaramelAds SDK 加载并展示隐藏广告,并窃取包括已安装应用、网络配置和系统信息在内的数据。
虽然 Konfety 并非传统意义上的间谍软件或远程访问木马(RAT),但它在 APK 中包含一个加密的次级 DEX 文件,在运行时解密并加载,其中包含在 AndroidManifest 文件中声明的隐藏服务。这一机制为后续动态加载更多危险模块打开了大门,使当前感染设备可能进一步被植入更具破坏性的功能。
规避检测的技巧
移动安全平台 Zimperium 的研究人员分析了该最新变种,发现 Konfety 使用多种方法隐藏其恶意本质与行为。
Konfety 通过复制 Google Play 上合法应用的名称和品牌,诱导受害者下载安装,这种策略被安全公司 Human 称为“恶意双胞胎”(evil twin)或“诱饵双胞胎”(decoy twin)。这些仿冒应用主要通过第三方应用商店传播。
使用者之所以偏向这些第三方市场,往往是因为他们希望获取“免费”版本的付费应用,规避 Google 追踪,或是他们的设备已经不再受支持,亦或根本无法访问 Google 服务。
此外,Konfety 利用动态代码加载技术,将其恶意逻辑隐藏在一个加密的 DEX 文件中,待运行时才解密加载,这是非常有效的混淆与规避方式。另一个鲜见的反分析策略是对 APK 文件结构本身进行操控,以干扰或阻止静态分析工具和逆向工程工具的正常解析。
具体而言:
APK 设置了通用用途位标志(General Purpose Bit Flag)中的 bit 0,该标志表示文件已加密,尽管实际上并未加密。如此设置会在分析时触发虚假的密码提示,从而阻碍或拖延对 APK 内容的访问。
关键文件采用 BZIP 压缩算法(0x000C)声明,而该压缩方式并不被 APKTool 或 JADX 等常用分析工具支持,最终导致解析失败。然而 Android 系统在运行时会忽略这种声明方式并退回到默认处理流程,从而允许该恶意应用顺利安装并运行,而不影响用户体验。
安装完成后,Konfety 会隐藏自身的图标与应用名,并根据受害者所处的地理位置调整其行为,具备地理围栏(geofencing)能力。
使用压缩结构进行混淆的手法并非首次出现。卡巴斯基在 2024 年 4 月发布的报告中就曾指出 SoumniBot 恶意软件使用了类似策略,包括在 AndroidManifest.xml 中声明无效的压缩方法、伪造文件大小与数据偏移信息、以及使用超长命名空间字符串干扰分析工具。
**安全建议:**切勿从第三方 Android 应用商店下载 APK 文件,仅信任您了解且可信的软件发布方。
发表评论
您还未登录,请先登录。
登录