Un nuevo y peligroso malware en Android se oculta de la detección mediante APKs distorsionados.
Expertos advierten que los APK distorsionados hacen que el análisis sea prácticamente inviable.
Recientes investigaciones han revelado que el malware Konfety para Android ha recibido actualizaciones significativas, empleando estrategias más sofisticadas para eludir la detección y dificultar el análisis por parte de los expertos en ciberseguridad. Los especialistas de zLabs han señalado que estas nuevas variantes utilizan un enfoque ingenioso al modificar la estructura de los archivos APK.
Los archivos APK, que se basan en ZIP, contienen un campo conocido como General Purpose Bit Flag. Este campo de dos bytes sirve para almacenar metadatos sobre cómo debe ser tratado el archivo, donde uno de los bits indica si el archivo está cifrado o no. Los atacantes de Konfety han manipulado este bit, configurándolo a 1 aun cuando el archivo no estaba cifrado, lo que provoca que las herramientas de descompresión malinterpreten el archivo y que las herramientas de análisis se bloqueen al considerarlo irreparable o corrupto. Esto hace que los ingenieros de reversión dediquen tiempo valioso a arreglar problemas que no deberían surgir.
Además, cada entrada en el archivo ZIP tiene un identificador de método de compresión. En este caso, los atacantes han declarado erróneamente que los archivos estaban comprimidos con un método poco común, lo que también resulta en una extracción parcial y errores de análisis, complicando aún más el proceso de desensamblaje.
El malware también utiliza una estrategia de “engaño de doble aplicación”, lo que significa que hay una aplicación legítima en las principales tiendas de aplicaciones y una versión maliciosa disponible en otras plataformas. Para ocultarse aún más, la aplicación elimina su icono tras la instalación y utiliza geofencing para asegurarse de que ciertos analistas no puedan acceder a ella.
Konfety se vale del SDK CaramelAds para cargar anuncios, entregar cargas útiles y mantener comunicación con servidores controlados por los atacantes. Su funcionamiento incluye redirigir a los usuarios a sitios web maliciosos, forzar instalaciones de aplicaciones no deseadas y generar notificaciones persistentes similares a spam.
Los investigadores han advertido que los grupos detrás de Konfety son altamente adaptables y están constantemente cambiando sus redes publicitarias y métodos para evadir la detección. La más reciente iteración del malware muestra su sofisticación al modificar específicamente la estructura ZIP del APK, lo que complica notablemente los chequeos de seguridad y el análisis por parte de los profesionales en el campo.
