Η νέα απειλή στον κόσμο του Android malware
Η ασφάλεια στον κυβερνοχώρο αντιμετωπίζει συνεχώς νέες προκλήσεις, και το νέο κακόβουλο λογισμικό που απασχολεί τους ειδικούς είναι το Konfety. Πρόκειται για μια εξελιγμένη παραλλαγή ενός γνωστού Android malware που χρησιμοποιεί την τεχνική του “κακού διδύμου” για να διευκολύνει την απάτη μέσω διαφημίσεων.
Η στρατηγική αυτή βασίζεται σε δύο εκδόσεις μιας εφαρμογής που μοιράζονται το ίδιο όνομα πακέτου. Η μία είναι μια αθώα “δέλεαρ” εφαρμογή που φιλοξενείται στο Google Play Store, ενώ η άλλη είναι η κακόβουλη έκδοση που διανέμεται μέσω τρίτων πηγών.
Πώς λειτουργεί η τεχνική του “κακού διδύμου”
Δεν είναι απαραίτητο οι εφαρμογές-δέλεαρ να δημοσιεύονται από τους ίδιους τους απειλητικούς παράγοντες. Μπορεί να είναι απολύτως νόμιμες. Το μόνο που χρειάζεται είναι οι κακόβουλες εφαρμογές να έχουν το ίδιο όνομα πακέτου με τις πραγματικές εκδόσεις που είναι ήδη διαθέσιμες στο Play Store.
Σύμφωνα με τον ερευνητή της Zimperium zLabs, Fernando Ortega, οι απειλητικοί παράγοντες πίσω από το Konfety είναι εξαιρετικά ευέλικτοι, αλλάζοντας συνεχώς τα δίκτυα διαφημίσεων που στοχεύουν και ενημερώνοντας τις μεθόδους τους για να αποφύγουν την ανίχνευση. Η τελευταία παραλλαγή αποδεικνύει την πολυπλοκότητά τους με την ειδική παραποίηση της δομής ZIP του APK.
Παραποίηση APKs και δυναμικός κώδικας
Με τη χρήση παραποιημένων APKs, οι απειλητικοί παράγοντες μπορούν να παρακάμπτουν την ανίχνευση και να δυσκολεύουν τις προσπάθειες αντίστροφης μηχανικής. Εκτός από τη δυναμική φόρτωση του κύριου DEX (Dalvik Executable) φορτίου κατά την εκτέλεση, οι νέες εκδόσεις ενεργοποιούν τη γενική σημαία bit ορίζοντάς την στο “Bit 0”, σηματοδοτώντας στο σύστημα ότι το αρχείο είναι κρυπτογραφημένο.
Αυτή η συμπεριφορά προκαλεί ένα ψευδές μήνυμα κωδικού πρόσβασης όταν προσπαθείτε να επιθεωρήσετε το πακέτο Android, εμποδίζοντας την πρόσβαση και περιπλέκοντας τις προσπάθειες ανάλυσης του περιεχομένου του.
Δημιουργία εμποδίων στην ανάλυση
Η δεύτερη τεχνική περιλαμβάνει την ψευδή δήλωση της χρήσης της μεθόδου συμπίεσης BZIP στο αρχείο XML του manifest της εφαρμογής (“AndroidManifest.xml”), προκαλώντας την αποτυχία εργαλείων ανάλυσης όπως το APKTool και το JADX λόγω αποτυχίας ανάλυσης. Μια παρόμοια τεχνική αποφυγής ανίχνευσης μέσω συμπίεσης είχε επισημανθεί προηγουμένως από την Kaspersky σε άλλο Android malware που ονομάζεται SoumniBot.
Η χρήση δυναμικής φόρτωσης κώδικα για την εκτέλεση του κύριου φορτίου προσφέρει επιπλέον μυστικότητα κατά τις αρχικές σαρώσεις ή την αντίστροφη μηχανική. Κατά την εκτέλεση, το DEX φορτίο αποκρυπτογραφείται και φορτώνεται απευθείας στη μνήμη χωρίς να προσελκύει καμία προειδοποίηση.
Η πολυεπίπεδη προσέγγιση του Konfety
Η πολυεπίπεδη προσέγγιση απόκρυψης, που συνδυάζει κρυπτογραφημένα στοιχεία, έγχυση κώδικα κατά την εκτέλεση και παραπλανητικές δηλώσεις manifest, δείχνει την εξελισσόμενη πολυπλοκότητα της επιχείρησης Konfety και τις συνεχείς προσπάθειές της να αποφύγει την ανάλυση και να παρακάμψει τους μηχανισμούς ανίχνευσης.
Όπως και η προηγούμενη έκδοση που αναφέρθηκε από την HUMAN πέρυσι, το Konfety εκμεταλλεύεται το CaramelAds SDK για να ανακτήσει διαφημίσεις, να παραδώσει φορτία και να διατηρήσει την επικοινωνία με διακομιστές που ελέγχονται από επιτιθέμενους.
Επιπλέον δυνατότητες και νέες απειλές
Το κακόβουλο λογισμικό έχει τη δυνατότητα να ανακατευθύνει τους χρήστες σε κακόβουλους ιστότοπους, να προκαλεί ανεπιθύμητες εγκαταστάσεις εφαρμογών και να ενεργοποιεί επίμονες ειδοποιήσεις τύπου spam στον περιηγητή. Επιπλέον, κρύβει το εικονίδιο της εφαρμογής του και χρησιμοποιεί γεωγραφική περίφραξη για να αλλάζει τη λειτουργικότητά του ανάλογα με την περιοχή του θύματος.
Η ανάπτυξη αυτή έρχεται καθώς το ANY.RUN ανέλυσε ένα κινεζικό εργαλείο πακεταρίσματος Android γνωστό ως Ducex, το οποίο έχει σχεδιαστεί κυρίως για να κρύβει ενσωματωμένα φορτία όπως το Triada μέσα σε ψεύτικες εφαρμογές Telegram.
Η νέα τεχνική TapTrap
Τα ευρήματα ακολουθούν μια νέα μελέτη που δημοσιεύθηκε από μια ομάδα ερευνητών από το TU Wien και το Πανεπιστήμιο του Bayreuth σχετικά με μια νέα τεχνική που ονομάζεται TapTrap, η οποία μπορεί να χρησιμοποιηθεί από μια κακόβουλη εφαρμογή για να παρακάμψει κρυφά το σύστημα αδειών του Android και να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα ή να εκτελέσει καταστροφικές ενέργειες.
Η επίθεση, εν συντομία, καταλαμβάνει τις αλληλεπιδράσεις του χρήστη σε συσκευές Android προβάλλοντας κινούμενα σχέδια ή παιχνίδια στην οθόνη του χρήστη, ενώ ταυτόχρονα εκκινεί κρυφά στοιχεία διεπαφής χρήστη από κάτω που ξεγελούν τους χρήστες να εκτελούν ανεπιθύμητες ενέργειες, όπως η εγκατάσταση κακόβουλου λογισμικού ή η παραχώρηση εισβολικών αδειών στην εφαρμογή.
Προστασία και αντιμετώπιση
Η επίθεση TapTrap επεκτείνεται πέρα από το οικοσύστημα Android, ανοίγοντας την πόρτα σε επιθέσεις tapjacking και web clickjacking. Το πρόβλημα έχει αντιμετωπιστεί στο GrapheneOS, στο Chrome 135 (CVE-2025-3067) και στο Firefox 136 (CVE-2025-1939). Το Android 16 συνεχίζει να είναι ευάλωτο στην επίθεση.
