I ricercatori di Zimperium hanno scoperto una nuova versione di Konfety, un malware per Android che può eseguire diverse attività pericolose, come il furto di dati o il redirezionamento del browser verso siti infetti. Gli sviluppatori hanno aggiunto alcune funzionalità che rendono più difficile la sua rilevazione.

Nuove tecniche di evasione

Konfety è stato individuato per la prima volta un anno fa. Il nome è correlato all’uso di CaramelAds, un SDK che permette di visualizzare inserzioni pubblicitarie. Viene definito “evil twin” perché le app in cui è nascosto il malware (disponibili tramite file APK) usano lo stesso nome del pacchetto delle app (legittime) pubblicate sul Google Play Store.

Oltre alla visualizzazione delle inserzioni, Konfety offre altre “funzionalità”. Può raccogliere informazioni sul dispositivo (app installate, configurazioni di rete e altre), installare app indesiderate, mostrare notifiche fasulle nel browser e portare l’utente su siti infetti.

La nuova versione di Konfety usa diverse tecniche di offuscamento per evitare la rilevazione. Una di esse si chiama dynamic code loading. All’interno del file APK è presente un file DEX (Dalvik Executable) cifrato che non è visibile durante una normale ispezione del codice. All’avvio dell’app, il codice viene decifrato e caricato in memoria.

Un’altra tecnica è la creazione di un file APK malformato che ostacola l’analisi (un file APK è un archivio ZIP con vari file e directory). Viene inoltre nascosta l’icona dell’app e usato il geofencing (se viene rilevato un user agent non europeo, il malware porta l’utente su Google).

Dato che le app contenenti Konfety vengono distribuite tramite APK, gli utenti devono scaricare le app solo da Google Play Store. È consigliato inoltre mantenere attivo Google Play Protect, in quanto può rilevare le app infette.